SELinux
コンテナ内のSELinux
SELinuxはラベリングシステムです。すべてのプロセスとファイルシステムオブジェクトにはラベルがあります。SELinuxポリシーは、システム上の他のすべてのラベルと何をプロセスラベルが許可されているかについてのルールを定義します。
コンテナエンジンは、通常container_t
という1つの制限付きSELinuxラベルでコンテナプロセスを起動し、その後コンテナ内のコンテナをcontainer_file_t
としてラベル付けします。SELinuxポリシールールは基本的に、container_t
プロセスがcontainer_file_t
とラベル付けされたファイルを読み取り/書き込み/実行できると言っています。コンテナプロセスがコンテナを脱出してホスト上のコンテンツに書き込もうとすると、Linuxカーネルはアクセスを拒否し、コンテナプロセスがcontainer_file_t
とラベル付けされたコンテンツにのみ書き込むことを許可します。
SELinuxユーザー
通常のLinuxユーザーに加えて、SELinuxユーザーが存在します。SELinuxユーザーはSELinuxポリシーの一部です。各Linuxユーザーはポリシーの一部としてSELinuxユーザーにマッピングされます。これにより、LinuxユーザーはSELinuxユーザーに配置された制限やセキュリティルール、メカニズムを継承することができます。
Last updated