allow_guest_exec_content boolean controla se o usuário em guest_t pode executar arquivos em diretórios domésticos ou temporários. O usuário ainda tem permissão para executar outros executáveis, conforme permitido pela política.
A política de referência do SELinux fornece interfaces para permitir acesso específico. Essas interfaces estão listadas na documentação da política do SELinux (sua distribuição provavelmente as fornece em selinux-policy-doc package).
Para permitir que o convidado convidado use o ping, você pode usar a interface netutils_exec_ping .
Em seguida, crie um módulo para sua política personalizada, por exemplo my_guest.te :
policy_module(my_guest, 1.0)
gen_require('
type guest_t;
role guest_r;
')
netutils_run_ping(guest_t, guest_r)
e compile com:
make -f /usr/share/selinux/devel/Makefile my_guest.pp
Dependendo do tipo de acesso à rede que você deseja permitir, você pode procurar por uma interface adequada e usá-la da mesma forma para estender o my_guest module.