Nadal nie jestem pewien czy dzięki SELinux jestem w stanie zablokować dostęp danemu procesowi do pamięci współdzielonej.

Wiem, że złośliwy proces nie będzie w stanie wykonać operacji zapisu lub odczytu plików na dysku, jeżeli nie jest do tego uprawniony.

A co do danych w pamięci RAM i wirtualnego ...

Selinux wytnie ci działania niepożądane, jeśli biblioteka zmieni swoje działanie a nie zostało ono przewidziane to zostanie zablokowane.

Ok, czyli mogę skonfigurować politykę bezpieczeństwa SELinux w taki sposób, żeby proces x o niższym stopniu czułości nie mógł komunikować się żadnym sposobem ...

SELinux wydaje mi się lepszym rozwiązaniem od AppArmor lub Smack, tym bardziej, że obsługuje zabezpieczenia wielopoziomowe (MLS).

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/selinux_users_and_administrators_guide/mls

Ale nie jestem pewien co do wystarczalności ...

Witam, czy ktoś z was może jest rozeznany w kwestii sandboxingu oraz kontenerów w dystrybucjach opartych na Debianie?

Chodzi mi o izolację programów third-party od reszty systemu bez uruchamiania ich na wirtualnej maszynie.

Pasowałby mi QubesOS, ale właśnie przeszkadza mi jego model bezpieczeństwa ...