Disabilita o rimuovi il modulo "non confinato".
La politica di riferimento, a mio avviso, non è ottimale per i sistemi embedded, o per le appliance con requisiti esotici come è stata scritta nella vecchia lingua del modulo. Questo linguaggio del modulo è, a differenza del nome, non così modulare nella pratica.
Finirai con una politica molto più ampia di quella strettamente necessaria.
Ho scritto un modello di policy di base e minimale che fa leva sul nuovo linguaggio di policy di SELinux Intermediate. La politica minima è stata concepita proprio per questo scopo: fornire una politica per costruire in cima e fare il minimo di ipotesi possibili.
Ciò consente una politica più piccola che si costruisce più rapidamente e richiede meno risorse.
DSSP2-minimal è DSSP2-base con un modulo aggiuntivo "minimal.cil" per renderlo "solo" funzionante. Ciò significa che l'unico tipo di processo è reso non definito. Semplicemente escludendo il modulo "minimal.cil" rimuovendolo dal makefile o eseguendo semodule -d minimal si otterrà una policy con il minor numero possibile di regole, e anche le regole che sono presenti possono essere facilmente rimosse.
La politica non è perfetta e richiede la conoscenza del linguaggio CIL per sfruttarla, ma a mio avviso potrebbe essere una base di idee per qualsiasi progetto con requisiti esotici.
link