Eu meio que estou aprendendo as arestas do SELinux e estou pensando se é possível impedir que um usuário específico acesse / tmp.
É evidente que é uma má ideia usar todas as permissões, por isso espero que o SELinux possa segmentar ou restringir um pouco mais precisamente do que simplesmente banir todos os usuários.
Informações adicionais
Existe um processo que tem seu próprio espaço temporário interno, mas sob "outras" circunstâncias tentará escrever em / tmp. Eu preferiria que o processo explodisse e morresse horrivelmente do que realmente descarregar para / tmp, já que isso causa todos os tipos de outros problemas. - claro como lama, certo?
Para esclarecimento, os dados escritos não são confidenciais, mas também não têm lugar no servidor. Se fosse possível, eu acabaria de enviar para / dev / null, mas isso parece ser menos do que razoável.
Referências