我想在 DOSBox 中启用动态核心,但这与 SELinux 不兼容,因为默认情况下不允许从堆执行 unconfined_t。
SELinux 故障排除程序建议:
You must tell SELinux about this by enabling the 'selinuxuser_execheap' boolean.
setsebool -P selinuxuser_execheap 1
我相信这是一个全球环境。我不想明确允许从任何进程的堆执行,因为这会破坏 SELinux 的安全性。它还表明我可以允许 execcheap for unconfined_t;这几乎同样糟糕。
如何创建与具有在堆上执行代码的显式权限的 DOSBox 二进制文件一起使用的新策略?
这是一个已知问题与 DOSBox 但解决方案尚未在主线中实施。
布朗尼指出了关于为什么这是一个有用的评论馊主意为了安全。