¿Cómo configuro el sandbox de SELinux en Debian?

8

He instalado SELinux en Debian sid para usar el entorno limitado que bloquea las aplicaciones en un entorno restringido, pero no puedo hacer que funcione. Si trato de usar el comando sandbox en modo permisivo sin ninguna opción sandbox nano, me sale el siguiente error:

/usr/bin/sandbox: [Errno 22] Invalid argument

Y si intento ejecutarlo con opciones para directorios temporales de inicio y tmp, con o sin la opción -X, aparece otro mensaje de error:

Could not set exec context to unconfined_u:unconfined_r:sandbox_x_t:s0:c236,c539.
Failed to remove directory /tmp/.sandbox-root-vfZJIt: No such file or directory

He intentado usar la aplicación sandbox en modo forzado, pero se queja de que faltan las reglas de aplicación de tipos. Sin embargo, no creo que ese sea el problema. ¿Alguien sabe cómo arreglar esto?

Magnus
fuente
1
Parece que el módulo de políticas de sandbox no está cargado. Si ejecuto semodule -lel módulo sandbox no aparece. ¿Alguien sabe cómo cargar el módulo de política sandbox en Debian?
Magnus

Respuestas:

1

Desafortunadamente, el soporte de SELinux en Debian está lejos de ser completo, con algunas brechas importantes. Parece que el módulo de política requerido para esta funcionalidad particular simplemente no está disponible:

wouter@gangtai:~$ apt-cache show policycoreutils-sandbox
Package: policycoreutils-sandbox
Source: policycoreutils
Version: 2.4-4

[...]

Description-en: SELinux core policy utilities (graphical sandboxes)

[...]

 This package requires an additional custom policy that is not present in
 Debian.

Tendrás que encontrarlo en otro lado.

Wouter Verhelst
fuente