SELinux
SELinux u kontejnerima
Uvod i primer sa redhat dokumentacije
SELinux je sistem za obeležavanje. Svaki proces i svaki objekat fajl sistema ima oznaku. SELinux politike definišu pravila o tome šta je dozvoljeno procesnoj oznaci da radi sa svim ostalim oznakama na sistemu.
Kontejnerski engine pokreće kontejnerske procese sa jednom ograničenom SELinux oznakom, obično container_t
, a zatim postavlja kontejner unutar kontejnera da bude označen sa container_file_t
. SELinux pravila politike u osnovi kažu da procesi container_t
mogu samo čitati/pisati/izvršavati fajlove označene sa container_file_t
. Ako kontejnerski proces pobegne iz kontejnera i pokuša da piše na sadržaj na hostu, Linux kernel odbija pristup i dozvoljava samo kontejnerskom procesu da piše na sadržaj označen sa container_file_t
.
SELinux korisnici
Postoje SELinux korisnici pored redovnih Linux korisnika. SELinux korisnici su deo SELinux politike. Svaki Linux korisnik je mapiran na SELinux korisnika kao deo politike. Ovo omogućava Linux korisnicima da naslede ograničenja i sigurnosna pravila i mehanizme postavljene na SELinux korisnike.
Last updated