我有2个应用程序通过TCP套接字相互通信,并充当客户端 - 服务器。我想将它们放在2个不同的SELinux沙箱中,并且只允许网络访问localhost。我使用semanage为自定义类型标记了localhost节点。
我有两个问题:
1)服务器侦听0.0.0.0。目标对象的上下文类型是node_t。有没有办法允许服务器绑定到0.0.0.0但只接收来自localhost的连接?
2)即使没有允许通用node_t访问的规则,客户端也可以连接到任何节点。
感谢。
答案 0 :(得分:0)
从SELinux(http://lists.openwall.net/netdev/2009/03/27/144)中删除了网络过滤支持,您需要使用iptables和secmark来正确标记流量。