SELinux
SELinux у контейнерах
Вступ та приклад з документації Red Hat
SELinux - це система маркування. Кожен процес та кожен **об'єкт файлової системи має мітку. Політики SELinux визначають правила щодо того, що процес з міткою дозволено робити з усіма іншими мітками на системі.
Двигуни контейнерів запускають процеси контейнерів з однією обмеженою міткою SELinux, зазвичай container_t
, а потім встановлюють контейнер всередині контейнера з міткою container_file_t
. Правила політики SELinux фактично стверджують, що процеси container_t
можуть лише читати/писати/виконувати файли з міткою container_file_t
. Якщо процес контейнера виходить за межі контейнера та намагається записати вміст на хості, ядро Linux відмовляє у доступі та дозволяє лише процесу контейнера записувати вміст з міткою container_file_t
.
Користувачі SELinux
Існують користувачі SELinux, крім звичайних користувачів Linux. Користувачі SELinux є частиною політики SELinux. Кожен користувач Linux відображений на користувача SELinux як частина політики. Це дозволяє користувачам Linux успадковувати обмеження та правила безпеки, а також механізми, що застосовуються до користувачів SELinux.
Last updated