我想/proc
使用 SELinux 尽可能限制对文件的访问。当我尝试 chcon 中的目录时/proc
,它失败:
$ chcon -t staff_proc_t /proc/acpi
chcon: failed to change context of '/proc/acpi' to ‘system_u:object_r:staff_proc_t’: Operation not supported
显然,/proc
文件系统不允许直接更改上下文。如何在/proc
条目上设置 SELinux 上下文?
如果这是不可能的,我想禁止通过其他方式访问这些文件。我想隐藏挂载点信息、ACPI 目录/proc/config.gz
等。
答案1
其中一种选择是使用 FUSE 编写一个包装文件系统,仅在需要时提供访问。 (我把这个答案留在这里只是因为这是可能的,但相当麻烦的解决方案。)