/proc ファイルへのファイルコンテキストの設定

/proc ファイルへのファイルコンテキストの設定

/procSELinuxを使用してファイルへのアクセスを最大限に制限したいと思います。内部ディレクトリをchconしようとすると/proc失敗します。

$ chcon -t staff_proc_t /proc/acpi
chcon: failed to change context of '/proc/acpi' to ‘system_u:object_r:staff_proc_t’: Operation not supported

明らかに/proc、ファイルシステムはコンテキストを直接変更することはできません。/proc項目にSELinuxコンテキストをどのように設定しますか?

これが不可能な場合は、他の手段を介してこれらのファイルにアクセスすることを無効にしたいと思います。マウントポイント情報、ACPIディレクトリ/proc/config.gzなどを隠したいです。

答え1

1つのオプションは、FUSEを使用して必要なときにのみアクセスを提供するラッパーファイルシステムを作成することです。 (この回答は可能ですが、やや面倒な解決策なので、ここに残してください。)

関連情報