我正在学习 SELinux 的边缘知识,想知道是否可以阻止特定用户访问 /tmp。
显然,限制所有权限并不是一个好主意,因此我希望 SELinux 可以更精确地定位或限制,而不仅仅是禁止所有用户。
附加信息
有一个进程有自己的内部临时空间,但在“其他”情况下会尝试写入 /tmp。我宁愿该进程爆炸并惨死,也不愿实际转储到 /tmp,因为这会导致各种其他问题。——是的,一清二楚,对吧?
需要澄清的是,写入的数据不是机密的,但服务器上也没有地方。如果可能的话,我会将其转储到 /dev/null,但这似乎不太合理。
参考
http://hg.openjdk.java.net/jdk7/jdk7/hotspot/file/97b64f73103b/src/os/linux/vm/os_linux.cpp(关于第 1624 行)(来源灵感https://stackoverflow.com/questions/1924136/environment-variable-to-control-java-io-tmpdir)