SELinux
SELinux in Containern
Einführung und Beispiel aus der Red Hat-Dokumentation
SELinux ist ein Beschriftungssystem. Jedes Prozess und jedes Dateisystemobjekt hat eine Beschriftung. SELinux-Richtlinien definieren Regeln darüber, was ein Prozesslabel mit allen anderen Beschriftungen auf dem System tun darf.
Container-Engines starten Container-Prozesse mit einem einzigen eingeschränkten SELinux-Label, normalerweise container_t
, und setzen dann den Container innerhalb des Containers auf das Label container_file_t
. Die SELinux-Richtlinien besagen im Grunde genommen, dass die container_t
-Prozesse nur Dateien mit dem Label container_file_t
lesen/schreiben/ausführen können. Wenn ein Container-Prozess aus dem Container ausbricht und versucht, auf Inhalte auf dem Host zu schreiben, verweigert der Linux-Kernel den Zugriff und erlaubt es dem Container-Prozess nur, Inhalte mit dem Label container_file_t
zu schreiben.
SELinux-Benutzer
Neben den regulären Linux-Benutzern gibt es auch SELinux-Benutzer. SELinux-Benutzer sind Teil einer SELinux-Richtlinie. Jeder Linux-Benutzer ist als Teil der Richtlinie einem SELinux-Benutzer zugeordnet. Dadurch erben Linux-Benutzer die Beschränkungen und Sicherheitsregeln und -mechanismen, die für SELinux-Benutzer gelten.
Last updated