SELinux
SELinux w kontenerach
Wprowadzenie i przykład z dokumentacji redhat
SELinux to system oznaczania. Każdy proces i każdy obiekt systemu plików ma oznaczenie. Polityki SELinux definiują zasady dotyczące tego, co oznaczenie procesu jest dozwolone do zrobienia z innymi oznaczeniami w systemie.
Silniki kontenerów uruchamiają procesy kontenerów z pojedynczym ograniczonym oznaczeniem SELinux, zwykle container_t
, a następnie ustawiają kontener wewnątrz kontenera, aby był oznaczony jako container_file_t
. Zasady polityki SELinux mówią w zasadzie, że procesy container_t
mogą tylko czytać/pisać/wykonująć pliki oznaczone jako container_file_t
. Jeśli proces kontenera ucieka z kontenera i próbuje zapisywać zawartość na hoście, jądro Linuxa odmawia dostępu i pozwala procesowi kontenera zapisywać tylko do zawartości oznaczonej jako container_file_t
.
Użytkownicy SELinux
W systemie SELinux istnieją użytkownicy SELinux, którzy są dodatkowi do zwykłych użytkowników systemu Linux. Użytkownicy SELinux są częścią polityki SELinux. Każdy użytkownik Linuxa jest mapowany na użytkownika SELinux jako część tej polityki. Dzięki temu użytkownicy Linuxa dziedziczą ograniczenia oraz zasady bezpieczeństwa, które są nakładane na użytkowników SELinux.
Last updated