SELinux
SELinux katika Kontena
Utangulizi na mfano kutoka kwenye nyaraka za redhat
SELinux ni mfumo wa lebo. Kila mchakato na kila faili kwenye mfumo una lebo. Sera za SELinux hutoa sheria juu ya kile lebo ya mchakato inaruhusiwa kufanya na lebo zingine zote kwenye mfumo.
Injini za kontena huzindua mchakato wa kontena na lebo moja iliyozuiwa ya SELinux, kawaida container_t
, na kisha kuweka kontena ndani ya kontena kuwa na lebo container_file_t
. Sheria za sera za SELinux kimsingi zinasema kuwa mchakato wa container_t
unaweza tu kusoma/kuandika/kutekeleza faili zenye lebo container_file_t
. Ikiwa mchakato wa kontena unafanikiwa kutoroka kutoka kwenye kontena na kujaribu kuandika kwenye yaliyomo kwenye mwenyeji, kernel ya Linux inakataa ufikiaji na inaruhusu mchakato wa kontena kuandika tu kwenye yaliyomo yenye lebo container_file_t
.
Watumiaji wa SELinux
Kuna watumiaji wa SELinux mbali na watumiaji wa kawaida wa Linux. Watumiaji wa SELinux ni sehemu ya sera ya SELinux. Kila mtumiaji wa Linux ameunganishwa na mtumiaji wa SELinux kama sehemu ya sera. Hii inaruhusu watumiaji wa Linux kuurithi vizuizi na sheria za usalama zilizowekwa kwa watumiaji wa SELinux.
Last updated