私はカスタムアプリケーションを制限するためにSELinux(ターゲットモード)を使用しています。コマンドを使用してsepolicy generate --init
コンテキストとルールを自動的に生成しましたが、すべてが驚くほど順調に進みました。すべてのリソースにカスタムコンテキストタグが付けられ、アプリケーションが正常に実行されました。
しかし、驚くべきことに、以下の設定ファイルには/etc/customApplication
まだcontextタグがありますetc_t
。
sepolicy generate --init
これらのファイルに対して新しいコンテキストを生成しない理由はありますか?etc_t_customApplication
答え1
etc_t
SELinux コンテキストの一部として /etc の下のファイルにデフォルトで適用される SELinux タイプ。これは誰でも読むことができますが、ルートのみを所有して変更できます。- @fpmurphy
他のアプリケーション/デーモンを使用してこれらの構成ファイルを変更する必要がある場合、または他のすべてのものからこれらのファイルを非表示にする必要がある場合は、おそらく独自のコンテキストが必要です。