我在 Debian sid 中安装了 SELinux,以便使用将应用程序锁定到受限环境的沙箱,但我无法让它工作。如果我尝试在宽松模式下使用沙箱命令而不使用任何选项,例如sandbox nano,我会收到以下错误:
/usr/bin/sandbox: [Errno 22] Invalid argument
如果我尝试使用临时主目录和临时目录的选项运行它,无论是否带有 -X 选项,都会弹出另一条错误消息:
Could not set exec context to unconfined_u:unconfined_r:sandbox_x_t:s0:c236,c539.
Failed to remove directory /tmp/.sandbox-root-vfZJIt: No such file or directory
我尝试在强制模式下使用沙箱应用程序,但它抱怨缺少类型强制规则。但我不认为这是问题所在。有谁知道如何解决这一问题?
答案1
不幸的是,Debian 中的 SELinux 支持还远未完成,存在一些重大差距。看来此特定功能所需的策略模块不可用:
wouter@gangtai:~$ apt-cache show policycoreutils-sandbox
Package: policycoreutils-sandbox
Source: policycoreutils
Version: 2.4-4
[...]
Description-en: SELinux core policy utilities (graphical sandboxes)
[...]
This package requires an additional custom policy that is not present in
Debian.
你必须在其他地方找到它。