Comment configurer le sandbox SELinux dans Debian?

8

J'ai installé SELinux dans Debian Sid afin d'utiliser le bac à sable qui verrouille les applications dans un environnement restreint, mais je n'arrive pas à le faire fonctionner. Si j'essaie d'utiliser la commande sandbox en mode permissif sans aucune option, comme sandbox nano, j'obtiens l'erreur suivante:

/usr/bin/sandbox: [Errno 22] Invalid argument

Et si j'essaye de l'exécuter avec des options pour les répertoires temporaires home et tmp, avec ou sans l'option -X, un autre message d'erreur apparaît:

Could not set exec context to unconfined_u:unconfined_r:sandbox_x_t:s0:c236,c539.
Failed to remove directory /tmp/.sandbox-root-vfZJIt: No such file or directory

J'ai essayé d'utiliser l'application sandbox en mode forcé, mais elle se plaint de règles d'application de type manquantes. Je ne pense pas que ce soit le problème. Est-ce que quelqu'un sait comment réparer ceci?

Magnus
la source
1
Il semble que le module de politique du bac à sable ne soit pas chargé. Si semodule -lj'exécute, le module sandbox n'apparaît pas. Quelqu'un sait-il comment charger le module de politique sandbox dans Debian?
Magnus

Réponses:

1

Malheureusement, la prise en charge de SELinux dans Debian est loin d'être complète, avec quelques lacunes importantes. Il semble que le module de stratégie requis pour cette fonctionnalité particulière ne soit tout simplement pas disponible:

wouter@gangtai:~$ apt-cache show policycoreutils-sandbox
Package: policycoreutils-sandbox
Source: policycoreutils
Version: 2.4-4

[...]

Description-en: SELinux core policy utilities (graphical sandboxes)

[...]

 This package requires an additional custom policy that is not present in
 Debian.

vous devrez le trouver ailleurs.

Wouter Verhelst
la source