Làm cách nào để thiết lập hộp cát SELinux trong Debian?

Tôi đã cài đặt SELinux trong Debian sid để sử dụng hộp cát khóa các ứng dụng vào một môi trường bị hạn chế, nhưng tôi không thể làm cho nó hoạt động được. Nếu tôi cố gắng sử dụng lệnh hộp cát trong chế độ cho phép mà không có bất kỳ tùy chọn nào, như sandbox nano, tôi gặp lỗi sau:

/usr/bin/sandbox: [Errno 22] Invalid argument

Và nếu tôi cố chạy nó với các tùy chọn cho các thư mục nhà và tmp tạm thời, có hoặc không có tùy chọn -X, một thông báo lỗi khác sẽ bật lên:

Could not set exec context to unconfined_u:unconfined_r:sandbox_x_t:s0:c236,c539.
Failed to remove directory /tmp/.sandbox-root-vfZJIt: No such file or directory

Tôi đã thử sử dụng ứng dụng hộp cát trong chế độ thực thi, nhưng nó phàn nàn về các quy tắc thực thi loại thiếu. Tôi không nghĩ rằng đó là vấn đề mặc dù. Có ai biết làm thế nào để sửa lỗi này?

Thật không may, hỗ trợ SELinux trong Debian vẫn chưa hoàn tất, với một số lỗ hổng lớn. Nó xuất hiện mô-đun chính sách cần thiết cho chức năng cụ thể này không có sẵn:

wouter@gangtai:~$ apt-cache show policycoreutils-sandbox
Package: policycoreutils-sandbox
Source: policycoreutils
Version: 2.4-4

[...]

Description-en: SELinux core policy utilities (graphical sandboxes)

[...]

 This package requires an additional custom policy that is not present in
 Debian.

bạn sẽ phải tìm nó ở nơi khác