SELinux
Konteynerlerde SELinux
Kırmızı şapkalı belgelerden giriş ve örnek
SELinux, bir etiketleme sistemidir. Her işlem ve her dosya sistemi nesnesi bir etikete sahiptir. SELinux politikaları, bir işlem etiketinin sistemdeki diğer tüm etiketlerle ne yapabileceğine dair kuralları tanımlar.
Konteyner motorları, genellikle container_t
olarak etiketlenen tek bir sınırlı SELinux etiketiyle konteyner işlemlerini başlatır ve ardından konteyneri içindeki konteyneri container_file_t
olarak etiketler. SELinux politika kuralları temel olarak container_t
işlemlerinin yalnızca container_file_t
olarak etiketlenmiş dosyaları okuyabileceğini/yazabileceğini/çalıştırabileceğini söyler. Bir konteyner işlemi konteynerden kaçar ve ana makinedeki içeriğe yazmaya çalışırsa, Linux çekirdeği erişimi reddeder ve yalnızca konteyner işleminin container_file_t
olarak etiketlenmiş içeriğe yazmasına izin verir.
SELinux Kullanıcıları
Normal Linux kullanıcılarına ek olarak SELinux kullanıcıları bulunmaktadır. SELinux kullanıcıları, bir SELinux politikasının bir parçasıdır. Her Linux kullanıcısı, politikanın bir parçası olarak bir SELinux kullanıcısına eşlenir. Bu, Linux kullanıcılarının SELinux kullanıcıları üzerinde uygulanan kısıtlamaları ve güvenlik kurallarını ve mekanizmalarını devralmasını sağlar.
Last updated