Почему selinux запрещает запуск служб из default_t?
Вы можете попробовать упорядочить файлы по количеству косых черт в нем (по убыванию), таким образом вы должны решить проблему с упорядочением.
so we can rule out the possibility that it blocks someone running a daemon from a user-writeable location like /dev/shm (tmpfs_t).
неправильно.
/dev/shm/ помечен как tmpfs_t, но когда пользователь создает файл в /dev/shm/, он помечается как user_tmp_t.
Политика SELinux существует для определения политики того, что разрешено в системе. Когда вы создаете несколько разных файлов с общими метками, политика достаточно разрешительна, но предотвращает некоторые потенциальные угрозы.
Единственная угроза заключается в том, что запуск чего-либо не из /dev/shm, а запуск чего-либо из потенциально пользовательских -каталогов, доступных для записи, может быть очень опасным (, особенно если демон работает от имени пользователя root, не так ли? ).
Как правило, все новые сервисы/демоны в Fedora должны иметь некоторую политику SELinux, чтобы SELinux имел над ними хоть какой-то контроль. Я бы порекомендовал вам сделать это, если это долговременное -служение.
Если это должна быть -специальная служба, просто назначьте ей некую общую bin_tметку, которая должна это делать. Или установите двоичные файлы в /opt/your-path/(s)bin/и, возможно, настройте политику, чтобы правильно отображать метки в дереве каталогов.