Wie richte ich die SELinux-Sandbox in Debian ein?

8

Ich habe SELinux in Debian sid installiert, um die Sandbox zu verwenden, mit der Apps für eine eingeschränkte Umgebung gesperrt werden, aber ich kann sie nicht zum Laufen bringen. Wenn ich versuche, den Befehl sandbox im zulässigen Modus ohne Optionen zu verwenden, sandbox nanowird folgende Fehlermeldung angezeigt:

/usr/bin/sandbox: [Errno 22] Invalid argument

Und wenn ich versuche, es mit Optionen für temporäre Home- und TMP-Verzeichnisse mit oder ohne die Option -X auszuführen, wird eine weitere Fehlermeldung angezeigt:

Could not set exec context to unconfined_u:unconfined_r:sandbox_x_t:s0:c236,c539.
Failed to remove directory /tmp/.sandbox-root-vfZJIt: No such file or directory

Ich habe versucht, die Sandbox-App im erzwungenen Modus zu verwenden, aber sie beschwert sich über fehlende Regeln für die Typdurchsetzung. Ich denke nicht, dass das das Problem ist. Weiß jemand, wie man das behebt?

Magnus
quelle
1
Es scheint, dass das Sandbox-Richtlinienmodul nicht geladen ist. Wenn ich semodule -ldas Sandbox-Modul starte, wird es nicht angezeigt. Weiß jemand, wie man das Sandbox-Richtlinienmodul in Debian lädt?
Magnus

Antworten:

1

Leider ist die SELinux-Unterstützung in Debian bei weitem nicht vollständig, mit einigen großen Lücken. Es scheint, dass das erforderliche Richtlinienmodul für diese bestimmte Funktionalität einfach nicht verfügbar ist:

wouter@gangtai:~$ apt-cache show policycoreutils-sandbox
Package: policycoreutils-sandbox
Source: policycoreutils
Version: 2.4-4

[...]

Description-en: SELinux core policy utilities (graphical sandboxes)

[...]

 This package requires an additional custom policy that is not present in
 Debian.

Sie müssen es woanders finden.

Wouter Verhelst
quelle