Есть ли способ назначить приложению настраиваемый контекст SELinux, несмотря на контекст, назначенный ему двоичным?
Ваше приложение должно поддерживать диапазоны MCS, потому что двоичный файл одинаков для всех экземпляров. Вот как это делается для изоляции ВМ с помощью libvirt в системах RHEL, например.
Вы можете поэкспериментировать, запустив разные экземпляры в разных диапазонах, используя runcon(1)с -l переключатель.
Таким образом, вы можете использовать принудительное применение одного и того же типа для всех экземпляров, выполняя каждый экземпляр в другой категории. Это изолировало бы экземпляры от остальной системы и между ними одновременно.