SELinux
컨테이너에서의 SELinux
SELinux은 라벨링 시스템입니다. 모든 프로세스와 모든 파일 시스템 객체에는 라벨이 있습니다. SELinux 정책은 시스템의 다른 모든 라벨과 함께 프로세스 라벨이 수행할 수 있는 작업에 대한 규칙을 정의합니다.
컨테이너 엔진은 일반적으로 container_t
라는 단일한 제한된 SELinux 라벨로 컨테이너 프로세스를 시작하고, 그 안에 있는 컨테이너를 container_file_t
로 라벨링합니다. SELinux 정책 규칙은 기본적으로 container_t
프로세스는 container_file_t
로 라벨링된 파일만 읽기/쓰기/실행할 수 있다고 말합니다. 컨테이너 프로세스가 컨테이너를 벗어나 호스트에 있는 콘텐츠에 쓰려고 하면, Linux 커널은 액세스를 거부하고 컨테이너 프로세스가 container_file_t
로 라벨링된 콘텐츠에만 쓸 수 있도록 허용합니다.
SELinux 사용자
일반 Linux 사용자 외에도 SELinux 사용자가 있습니다. SELinux 사용자는 SELinux 정책의 일부입니다. 각 Linux 사용자는 정책의 일부로 SELinux 사용자에 매핑됩니다. 이를 통해 Linux 사용자는 SELinux 사용자에게 적용된 제한과 보안 규칙 및 메커니즘을 상속받을 수 있습니다.
Last updated