【发布时间】:2010-11-14 20:15:38
【问题描述】:
My Apache module 启动一个辅助子进程,它执行例如但不限于以下操作:
- 它设置了一个套接字,以便它可以与 Apache 通信。
- 在 Apache 退出时删除的临时位置读取和写入文件。这些文件用于例如用于存储通过网络接收的大量数据,以防这些数据无法轻松放入 RAM。
- 它生成用户指定的可执行文件。类似于 CGI。这些衍生进程中的每一个都以自己的专用用户身份运行。
帮助程序子进程以 root 身份启动,以便它可以管理文件所有权和权限,并可以作为特定用户生成更多进程。
我的模块的一些用户在安装了 SELinux 的系统上运行,例如基于 RedHat 的发行版。 SELinux 通常会干扰我的模块。到目前为止,我一直在告诉人们在系统范围内禁用 SELinux,因为我不知道如何为我的软件编写适当的策略。文档非常分散、复杂,通常只针对系统管理员,而不是软件开发人员。
作为朝着正确方向迈出的一步,我想实现对 SELinux 的最小支持。我正在寻找一种方法来启动我的辅助子进程而没有任何 SELinux 限制,而无需禁用 SELinux 系统范围。有没有办法做到这一点,如果有,怎么做?
【问题讨论】: