Como eu configuro a sandbox do SELinux no Debian?

8

Instalei o SELinux no Debian sid para usar a sandbox que bloqueia os aplicativos em um ambiente restrito, mas não consigo fazê-lo funcionar. Se eu tentar usar o comando sandbox no modo permissivo sem nenhuma opção, como sandbox nano, recebo o seguinte erro:

/usr/bin/sandbox: [Errno 22] Invalid argument

E se eu tentar executá-lo com opções para diretórios home e tmp temporários, com ou sem a opção -X, outra mensagem de erro será exibida:

Could not set exec context to unconfined_u:unconfined_r:sandbox_x_t:s0:c236,c539.
Failed to remove directory /tmp/.sandbox-root-vfZJIt: No such file or directory

Tentei usar o aplicativo sandbox no modo imposto, mas ele reclama sobre a falta de regras de aplicação de tipos. Eu não acho que esse seja o problema. Alguém sabe como consertar isso?

Magnus
fonte
1
Parece que o módulo de política de sandbox não está carregado. Se eu executar, semodule -lo módulo sandbox não será exibido. Alguém sabe como carregar o módulo de política sandbox no Debian?
Magnus

Respostas:

1

Infelizmente, o suporte ao SELinux no Debian está longe de estar completo, com algumas lacunas importantes. Parece que o módulo de política necessário para essa funcionalidade específica não está disponível:

wouter@gangtai:~$ apt-cache show policycoreutils-sandbox
Package: policycoreutils-sandbox
Source: policycoreutils
Version: 2.4-4

[...]

Description-en: SELinux core policy utilities (graphical sandboxes)

[...]

 This package requires an additional custom policy that is not present in
 Debian.

você terá que encontrá-lo em outro lugar.

Wouter Verhelst
fonte