У меня есть служба, работающая как пользователь без полномочий root, которой требуется доступ к некоторым сертификатам LDAP, хранящимся в / etc / openldap / certs. Ключевой файл (client.pem) имеет разрешения -rw-------. root root system_u:object_r:slapd_cert_t:s0 client.pem. Есть ли способ с помощью политик SELinux разрешить службе читать содержимое этого файла? Я могу дать службе разрешение на чтение для slapd_cert_t, но тогда обычные разрешения DAC будут запрещать доступ.
Я бы предпочел не делать его доступным для чтения всем, так как это снизит безопасность, если SELinux когда-либо будет отключен. Еще одно решение, которое я рассмотрел, заключалось в изменении владельца этого файла на myserviceuser:root, но это тоже неправильно - что, если будущей службе потребуется доступ к тем же сертификатам?