有没有办法将自定义 SELinux 上下文分配给应用程序,尽管上下文已分配给它的二进制文件?
答案1
您的应用需要支持 MCS 范围,因为所有实例的二进制文件都是相同的。这是使用以下方法实现虚拟机隔离的方法:RHEL 系统中的 libvirt, 例如。
runcon(1)您可以通过使用的开关在不同的范围内启动不同的实例来进行实验-l。
这样,您可以对所有实例使用相同的类型强制,同时在不同的类别中运行每个实例。这将同时将实例与系统的其余部分隔离开来,并将它们相互隔离。
将 selinux 上下文分配给应用程序而不改变二进制上下文