私は独自のSELinux型タグを持つJavaアプリケーションを使用しています。 Javaはunconfined_t
代わりにタグタイプでこれを行います。
bin_t
Javaは(ls -Z /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.181-3.b13.el7_5.x86_64/jre/bin/java
)で示されています。
しかしps -efZ | grep java
、unconfined_t
Javaを次のように実行するにはどうすればよいですかbin_t
?正しいコンテキストでJavaアプリケーションを実行するにはどうすればよいですか?
目標は、アプリケーションを独自のコンテキストで実行すること、または少なくともbin_t
Javaの起動時に実行されるかのように実行することです。
ディストリビューションはCentOS 7です。
答え1
bin_t
プロセスドメインではなくファイル形式です。プロセスは、次の方法で制限されたドメインに入ります。エントリポイントhttpd_exec_t
通常、httpdデーモンなどのエントリポイントファイルタイプで表示される実行可能ファイルです。
ポイントカットはポリシーで定義されています。プロセスドメインを定義するポリシーがある場合は、エントリポイントも定義できます。正しいエントリポイントタグを使用してアプリケーションを起動するために使用される実行可能ファイル(スクリプトなど)にタグを付けます。