Присвойте selinux контекст приложению, не изменяя контекст двоичного файла
Так как я ранее использовал Apache, чтобы сделать SSL независимо от обратного проксирования или работы приложения, я настроил Apache, чтобы принять трафик SSL, затем передать его HAProxy, который затем передал бы одному из апачских серверов в веб-ферме, даже если это - исходный сервер, который сделал SSL.
Попытка использования stunnel потерпела полный провал, пока я не понял, что Apache мог быть frontend и бэкендом к HAProxy.
Я, возможно, также использовал совет Julien, но я действительно хотел преимущества HTTP, а не просто опции TCP.
Ваше приложение должно поддерживать диапазоны MCS, потому что двоичный код одинаков для всех экземпляров. Вот как это делается для изоляции виртуальных машин с помощью libvirt в системах RHEL , например.
Вы можете поэкспериментировать, запустив разные экземпляры в разных диапазонах с помощью runcon (1) ' s -l переключатель.
Таким образом, вы можете использовать принудительное применение одного и того же типа для всех экземпляров, выполняя каждый экземпляр в другой категории. Это изолировало бы экземпляры от остальной системы и одновременно между ними.