SELinux
SELinux nei container
Introduzione ed esempio dalla documentazione di Red Hat
SELinux è un sistema di etichettatura. Ogni processo e ogni oggetto del sistema di file ha un etichetta. Le politiche SELinux definiscono le regole su cosa un'etichetta di processo può fare con tutte le altre etichette presenti nel sistema.
I motori dei container avviano processi dei container con un'unica etichetta SELinux confinata, di solito container_t
, e poi impostano il container all'interno del container con l'etichetta container_file_t
. Le regole della politica SELinux dicono fondamentalmente che i processi container_t
possono solo leggere/scrivere/eseguire file etichettati come container_file_t
. Se un processo del container riesce a sfuggire al container e tenta di scrivere su contenuti sull'host, il kernel Linux nega l'accesso e consente solo al processo del container di scrivere su contenuti etichettati come container_file_t
.
Utenti SELinux
Oltre agli utenti Linux regolari, esistono anche gli utenti SELinux. Gli utenti SELinux fanno parte di una politica SELinux. Ogni utente Linux è mappato su un utente SELinux come parte della politica. Ciò consente agli utenti Linux di ereditare le restrizioni, le regole di sicurezza e i meccanismi di sicurezza imposti sugli utenti SELinux.
Last updated