SELinux u kontejnerima

Uvod i primer sa redhat dokumentacije

SELinux je sistem za obeležavanje. Svaki proces i svaki objekat fajl sistema ima oznaku. SELinux politike definišu pravila o tome šta je dozvoljeno procesnoj oznaci da radi sa svim ostalim oznakama na sistemu.

Kontejnerski engine pokreće kontejnerske procese sa jednom ograničenom SELinux oznakom, obično container_t, a zatim postavlja kontejner unutar kontejnera da bude označen sa container_file_t. SELinux pravila politike u osnovi kažu da procesi container_t mogu samo čitati/pisati/izvršavati fajlove označene sa container_file_t. Ako kontejnerski proces pobegne iz kontejnera i pokuša da piše na sadržaj na hostu, Linux kernel odbija pristup i dozvoljava samo kontejnerskom procesu da piše na sadržaj označen sa container_file_t.

$ podman run -d fedora sleep 100
d4194babf6b877c7100e79de92cd6717166f7302113018686cea650ea40bd7cb
$ podman top -l label
LABEL
system_u:system_r:container_t:s0:c647,c780

SELinux korisnici

Postoje SELinux korisnici pored redovnih Linux korisnika. SELinux korisnici su deo SELinux politike. Svaki Linux korisnik je mapiran na SELinux korisnika kao deo politike. Ovo omogućava Linux korisnicima da naslede ograničenja i sigurnosna pravila i mehanizme postavljene na SELinux korisnike.