Как настроить песочницу SELinux в Debian?

Я установил SELinux в Debian sid, чтобы использовать «песочницу», которая блокирует приложения в ограниченной среде, но я не могу заставить ее работать. Если я пытаюсь использовать команду sandbox в разрешающем режиме без каких-либо опций, например sandbox nano, я получаю следующую ошибку:

/usr/bin/sandbox: [Errno 22] Invalid argument

И если я пытаюсь запустить его с опциями временного home и tmp dirs, с опцией -X или без нее, появляется другое сообщение об ошибке:

Could not set exec context to unconfined_u:unconfined_r:sandbox_x_t:s0:c236,c539.
Failed to remove directory /tmp/.sandbox-root-vfZJIt: No such file or directory

Я пытался использовать приложение «песочница» в принудительном режиме, но оно жалуется на отсутствие правил принудительного использования типов. Я не думаю, что это проблема, хотя. Кто-нибудь знает, как это исправить?

К сожалению, поддержка SELinux в Debian далека от завершения, с некоторыми серьезными пробелами. Похоже, что необходимый модуль политики для этой конкретной функции просто недоступен:

wouter@gangtai:~$ apt-cache show policycoreutils-sandbox
Package: policycoreutils-sandbox
Source: policycoreutils
Version: 2.4-4

[...]

Description-en: SELinux core policy utilities (graphical sandboxes)

[...]

 This package requires an additional custom policy that is not present in
 Debian.

Вы должны будете найти это в другом месте.