Debian で SELinux サンドボックスを設定するには?

Debian で SELinux サンドボックスを設定するには?

限られた環境でアプリケーションをロックするサンドボックスを使用するためにDebian sidにSELinuxをインストールしましたが、動作しません。たとえば、オプションなしで緩和モードでsandboxコマンドを使用しようとすると、sandbox nano次のエラーが発生します。

/usr/bin/sandbox: [Errno 22] Invalid argument

-Xオプションを使用または使用せずに一時ホームおよび一時ディレクトリのオプションを使用して実行しようとすると、別のエラーメッセージが表示されます。

Could not set exec context to unconfined_u:unconfined_r:sandbox_x_t:s0:c236,c539.
Failed to remove directory /tmp/.sandbox-root-vfZJIt: No such file or directory

適用モードでサンドボックスアプリケーションを試しましたが、タイプ適用規則が欠落していると文句を言いました。しかし、私はそれが問題だとは思わない。この問題を解決する方法を知っている人はいますか?

答え1

残念ながら、DebianのSELinuxサポートは完全ではなく、いくつかの大きなギャップがあります。この特定の機能に必要なポリシーモジュールは利用できないようです。

wouter@gangtai:~$ apt-cache show policycoreutils-sandbox
Package: policycoreutils-sandbox
Source: policycoreutils
Version: 2.4-4

[...]

Description-en: SELinux core policy utilities (graphical sandboxes)

[...]

 This package requires an additional custom policy that is not present in
 Debian.

他の場所で探す必要があります。

関連情報