/proc
SELinuxを使用してファイルへのアクセスを最大限に制限したいと思います。内部ディレクトリをchconしようとすると/proc
失敗します。
$ chcon -t staff_proc_t /proc/acpi
chcon: failed to change context of '/proc/acpi' to ‘system_u:object_r:staff_proc_t’: Operation not supported
明らかに/proc
、ファイルシステムはコンテキストを直接変更することはできません。/proc
項目にSELinuxコンテキストをどのように設定しますか?
これが不可能な場合は、他の手段を介してこれらのファイルにアクセスすることを無効にしたいと思います。マウントポイント情報、ACPIディレクトリ/proc/config.gz
などを隠したいです。
答え1
1つのオプションは、FUSEを使用して必要なときにのみアクセスを提供するラッパーファイルシステムを作成することです。 (この回答は可能ですが、やや面倒な解決策なので、ここに残してください。)