> а какой процесс по вашему фигурирует тут?bash, ls, ln, kill (впрочем, тк не /usr/bin/kill, тот же bash), cat. Сделайте на бинарники ls -lZ и убедитесь, что это unconfined_t
Но дело даже совсем не в этом. Даже если *был бы* контекст и selinux что-то им запрещал - это был бы *совершенно другой* контекст, чем у nginx (впрочем, в этом случае ls -Z не показал бы всей правды - нужно смотреть через selinuxexeccon, что во что может перейти, а что во что не может). Поэтому данный тест не имеет смысла по определению для выяснения вопроса "влияет selinux на nginx или нет". Если вы не верите умению читать политику selinux, реальный тест можно провести только из самого приложения. Ну или сделайте себе копию /bin/bash, через chcon поставьте на нее контекст как у nginx, запустите (убедитесь через ps -Z, что в нужном контексте) и оттуда уже делайте ваш эксперимент. Если вообще дадут запустить.
> зы. "selinux с targeted-политикой" следит и за пользовательскими процессами, by ex:
*фейспалм*
$ ls -lZ /usr/lib64/firefox/plugin-container
-rwxr-xr-x. 1 root root system_u:object_r:mozilla_plugin_exec_t:s0 279824 ноя 15 01:47 /usr/lib64/firefox/plugin-container
Ну логично, что.
Конечно, selinux следит и за не-рутовыми процессами (которые формально пользовательские - пусть и не всегда того пользователя, который залогинен). Не надо придираться, я имел ввиду совсем не это. Когда вы дергаете из консоли утилиты общего назначения, ни на что из них политика не распространяется, вот и все. Несколько хитрых штук типа plugin-container являются исключениями, но это очень редкие случаи, да и помощи там от selinux с точки зрения практической безопасности не так много. Лично от меня сейчас в контексте, отличном от unconfined_t выполняются только Xorg и dbus-daemon.
