Вы можете попробовать упорядочить файлы по количеству косых черт в нем (по убыванию), таким образом вы должны решить проблему с упорядочением.
so we can rule out the possibility that it blocks someone running a daemon from a user-writeable location like /dev/shm (tmpfs_t).
неправильно.
/dev/shm/ помечен как tmpfs_t
, но когда пользователь создает файл в /dev/shm/
, он помечается как user_tmp_t
.
Политика SELinux существует для определения политики того, что разрешено в системе. Когда вы создаете несколько разных файлов с общими метками, политика достаточно разрешительна, но предотвращает некоторые потенциальные угрозы.
Единственная угроза заключается в том, что запуск чего-либо не из /dev/shm
, а запуск чего-либо из потенциально пользовательских -каталогов, доступных для записи, может быть очень опасным (, особенно если демон работает от имени пользователя root, не так ли? ).
Как правило, все новые сервисы/демоны в Fedora должны иметь некоторую политику SELinux, чтобы SELinux имел над ними хоть какой-то контроль. Я бы порекомендовал вам сделать это, если это долговременное -служение.
Если это должна быть -специальная служба, просто назначьте ей некую общую bin_t
метку, которая должна это делать. Или установите двоичные файлы в /opt/your-path/(s)bin/
и, возможно, настройте политику, чтобы правильно отображать метки в дереве каталогов.