SELinux
SELinux u kontejnerima
Uvod i primer iz redhat dokumenata
SELinux je sistem označavanja. Svaki proces i svaki objekat u sistemu datoteka ima označavanje. SELinux politike definišu pravila o tome šta označavanje procesa može da radi sa svim ostalim oznakama u sistemu.
Kontejnerski alati pokreću kontejnerske procese sa jednim ograničenim SELinux oznakom, obično container_t, a zatim postavljaju kontejner unutar kontejnera da bude označen kao container_file_t. Pravila SELinux politike u suštini kažu da container_t procesi mogu samo da čitaju/pisu/izvršavaju datoteke označene kao container_file_t. Ako kontejnerski proces pobegne iz kontejnera i pokuša da piše u sadržaj na hostu, Linux kernel odbija pristup i dozvoljava kontejnerskom procesu da piše samo u sadržaj označen kao container_file_t.
SELinux korisnici
Postoje SELinux korisnici pored redovnih Linux korisnika. SELinux korisnici su deo SELinux politike. Svaki Linux korisnik je mapiran na SELinux korisnika kao deo politike. Ovo omogućava Linux korisnicima da naslede ograničenja i sigurnosna pravila i mehanizme postavljene na SELinux korisnike.
Last updated
