如何为从 Apache 启动的子进程禁用 SELinux？

Question

我的 Apache 模块 启动一个辅助子进程，该子进程执行以下操作（例如但不限于以下操作）

• ：一个套接字，以便它可以与 Apache 通信。
• 在 Apache 退出时删除的临时位置中读取和写入文件。这些文件用于存储通过网络接收的大量数据，以防数据无法轻松装入 RAM。
• 它生成用户指定的可执行文件。类似于CGI。每个生成的进程都作为自己的专用用户运行。

帮助程序子进程以 root 身份启动，以便它可以管理文件所有权和权限，并可以作为特定用户生成更多进程。

我的模块的一些用户在安装了 SELinux 的系统上运行，例如基于 RedHat 的发行版。 SELinux 通常会干扰我的模块。到目前为止，我一直告诉人们在系统范围内禁用 SELinux，因为我不知道如何为我的软件编写正确的策略。文档非常分散、复杂，通常只针对系统管理员，而不是软件开发人员。

作为朝着正确方向迈出的一步，我想实现对 SELinux 的最低限度的支持。我正在寻找一种方法来启动我的辅助子进程，而无需任何 SELinux 限制，而无需在系统范围内禁用 SELinux。有没有办法做到这一点，如果有的话，怎么做？

Answer 1

嗯...您可以编写一条规则将您的域转换为unconfined_t，但是这样您就会惹恼很多系统管理员。最好自己编写一个继承自 httpd_t 的新域，并添加适当的访问上下文。