SELinux
SELinux in Containers
Inleiding en voorbeeld uit die redhat docs
SELinux is 'n etikettering stelsel. Elke proses en elke lêer stelseloobjek het 'n etiket. SELinux-beleide definieer reëls oor wat 'n prosesetiket mag doen met al die ander etikette op die stelsel.
Container-enjins begin containerprosesse met 'n enkele beperkte SELinux-etiket, gewoonlik container_t, en stel dan die container binne die container in om geëtiketteer te word as container_file_t. Die SELinux-beleid reëls sê basies dat die container_t prosesse slegs lêers geëtiketteer as container_file_t kan lees/skryf/uitvoer. As 'n containerproses die container ontsnap en probeer om na inhoud op die gasheer te skryf, weier die Linux-kern toegang en laat slegs die containerproses toe om na inhoud geëtiketteer as container_file_t te skryf.
SELinux Gebruikers
Daar is SELinux gebruikers benewens die gewone Linux gebruikers. SELinux gebruikers is deel van 'n SELinux beleid. Elke Linux gebruiker is aan 'n SELinux gebruiker gekoppel as deel van die beleid. Dit laat Linux gebruikers toe om die beperkings en sekuriteitsreëls en -meganismes wat op SELinux gebruikers geplaas is, te erf.
Last updated
