Имеет ли смысл использовать SELinux внутри chroot-тюрьмы?
Я думаю, что необходимо добавить ath0.15 устройство к мосту:
$ vconfig add ath0 15
$ ip link set ath0.15 up
$ brctl addif br-wan ath0.15
$ brctl delif br-wan ath0
Ссылки
Да, возможно, стоит проводить политику SELinux даже в контейнере. Одна из идей SELinux заключается в том, чтобы иметь вторую линию защиты, т.е. если какой-нибудь контейнер (или chroot) сломается, процесс внутри него все равно может не делать то, что он хочет - или, возможно, он даже не сможет сломать контейнер из-за SELinux - или, он даже не сможет сделать что-то нежелательное внутри контейнера/ chroot.
Chroot jail запрещает только процессам, запущенным в chroot, прямой доступ к файлам за пределами chroot. Он не предотвращает доступ процессов в chroot к другим вещам, кроме файлов, например к другим процессам (которые могут быть убиты и отслежены, если они выполняются от имени одного и того же пользователя), сети и т. Д. Это также не предотвращает процессы в chroot. от эксплуатации ошибок других процессов (например, программ setuid).
Сам по себе Chroot не является инструментом безопасности. Chroot обеспечивает безопасность только в сочетании с другими мерами; по крайней мере, любой процесс, запущенный внутри тюрьмы, должен выполняться под другим идентификатором пользователя, чем любой процесс, выполняющийся за пределами тюрьмы.
SELinux, если он настроен правильно (что может быть сложно), обеспечивает изоляцию даже для процессов, запущенных от имени пользователя root. Chroot на самом деле является избыточным инструментом безопасности, если у вас есть SELinux - вы можете настроить SELinux, чтобы ограничить программу определенными каталогами, - но его намного проще правильно настроить.