SELinux
SELinux σε Κοντέινερ
Εισαγωγή και παράδειγμα από τα έγγραφα της redhat
SELinux είναι ένα σύστημα ετικετοποίησης. Κάθε διαδικασία και κάθε αντικείμενο συστήματος αρχείων έχει μια ετικέτα. Οι πολιτικές SELinux καθορίζουν κανόνες σχετικά με το τι μπορεί να κάνει μια ετικέτα διαδικασίας με όλες τις άλλες ετικέτες στο σύστημα.
Οι μηχανές κοντέινερ εκκινούν διαδικασίες κοντέινερ με μια μόνο περιορισμένη ετικέτα SELinux, συνήθως container_t, και στη συνέχεια ορίζουν το κοντέινερ μέσα στο κοντέινερ να έχει την ετικέτα container_file_t. Οι κανόνες πολιτικής SELinux βασικά λένε ότι οι διαδικασίες container_t μπορούν μόνο να διαβάζουν/γράφουν/εκτελούν αρχεία με ετικέτα container_file_t. Εάν μια διαδικασία κοντέινερ διαφύγει από το κοντέινερ και προσπαθήσει να γράψει περιεχόμενο στον οικοδεσπότη, ο πυρήνας του Linux αρνείται την πρόσβαση και επιτρέπει μόνο στη διαδικασία κοντέινερ να γράψει σε περιεχόμενο με ετικέτα container_file_t.
SELinux Users
Υπάρχουν χρήστες SELinux εκτός από τους κανονικούς χρήστες Linux. Οι χρήστες SELinux είναι μέρος μιας πολιτικής SELinux. Κάθε χρήστης Linux αντιστοιχεί σε έναν χρήστη SELinux ως μέρος της πολιτικής. Αυτό επιτρέπει στους χρήστες Linux να κληρονομούν τους περιορισμούς και τους κανόνες και μηχανισμούς ασφαλείας που έχουν επιβληθεί στους χρήστες SELinux.
Last updated
