DOSBox에서 동적 코어를 활성화하고 싶지만 unconfined_t는 기본적으로 힙에서 실행될 수 없기 때문에 SELinux와 호환되지 않습니다.
SELinux 문제 해결 권장 사항:
You must tell SELinux about this by enabling the 'selinuxuser_execheap' boolean.
setsebool -P selinuxuser_execheap 1
나는 이것이 글로벌 환경이라고 믿습니다. 나는 프로세스의 힙에서 실행을 명시적으로 허용하고 싶지 않습니다. 그렇게 하면 SELinux의 보안이 손상될 수 있기 때문입니다. 또한 unconfined_t에 대해 execcheap을 허용할 수 있다는 것도 보여줍니다. 이는 거의 나쁩니다.
힙에서 코드를 실행할 수 있는 명시적인 권한이 있는 DOSBox 바이너리와 함께 사용할 새 정책을 어떻게 생성합니까?
이것은알려진 문제DOSBox를 사용했지만 솔루션은 아직 메인라인에 구현되지 않았습니다.
브라우니는 이것이 왜 유용한지에 대한 의견을 지적했습니다.나쁜 생각안전을 위해.