限定SELinuxドメインでJavaアプリケーションを実行するには?

限定SELinuxドメインでJavaアプリケーションを実行するには?

私は独自のSELinux型タグを持つJavaアプリケーションを使用しています。 Javaはunconfined_t代わりにタグタイプでこれを行います。

bin_tJavaは(ls -Z /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.181-3.b13.el7_5.x86_64/jre/bin/java)で示されています。

しかしps -efZ | grep javaunconfined_t

Javaを次のように実行するにはどうすればよいですかbin_t?正しいコンテキストでJavaアプリケーションを実行するにはどうすればよいですか?

目標は、アプリケーションを独自のコンテキストで実行すること、または少なくともbin_tJavaの起動時に実行されるかのように実行することです。

ディストリビューションはCentOS 7です。

答え1

bin_tプロセスドメインではなくファイル形式です。プロセスは、次の方法で制限されたドメインに入ります。エントリポイントhttpd_exec_t通常、httpdデーモンなどのエントリポイントファイルタイプで表示される実行可能ファイルです。

ポイントカットはポリシーで定義されています。プロセスドメインを定義するポリシーがある場合は、エントリポイントも定義できます。正しいエントリポイントタグを使用してアプリケーションを起動するために使用される実行可能ファイル(スクリプトなど)にタグを付けます。

関連情報