Политика SELinux существует для определения политики того, что разрешено в системе. Когда вы создаете несколько разных файлов с общими метками, политика достаточно разрешительна, но предотвращает некоторые потенциальные угрозы.
Единственная угроза заключается в том, что запуск чего-либо не из /dev/shm
, а запуск чего-либо из потенциально пользовательских -каталогов, доступных для записи, может быть очень опасным (, особенно если демон работает от имени пользователя root, не так ли? ).
Как правило, все новые сервисы/демоны в Fedora должны иметь некоторую политику SELinux, чтобы SELinux имел над ними хоть какой-то контроль. Я бы порекомендовал вам сделать это, если это долговременное -служение.
Если это должна быть -специальная служба, просто назначьте ей некую общую bin_t
метку, которая должна это делать. Или установите двоичные файлы в /opt/your-path/(s)bin/
и, возможно, настройте политику, чтобы правильно отображать метки в дереве каталогов.
Если на вашем сервере нет графического окружения, вам потребуется запустить Chromium в автономном режиме. Отладка может быть немного сложной, потому что вы не можете напрямую увидеть, что делает селен.
Полезные советы:
Вы можете использовать pyvirtualdisplay
для запуска вашего хромдрайвера с нулевым отображением на вашем сервере. Вот полный ответ :https://stackoverflow.com/a/59793651/6903322