SELinux σε Κοντέινερ

Εισαγωγή και παράδειγμα από τα έγγραφα της redhat

SELinux είναι ένα σύστημα ετικετών. Κάθε διαδικασία και κάθε αντικείμενο συστήματος αρχείων έχει μια ετικέτα. Οι πολιτικές SELinux ορίζουν κανόνες σχετικά με το τι επιτρέπεται να κάνει μια ετικέτα διαδικασίας με όλες τις άλλες ετικέτες στο σύστημα.

Οι μηχανές κοντέινερ εκκινούν διαδικασίες κοντέινερ με μια μόνο περιορισμένη ετικέτα SELinux, συνήθως container_t, και στη συνέχεια ορίζουν το κοντέινερ μέσα στο κοντέινερ να έχει την ετικέτα container_file_t. Οι κανόνες πολιτικής SELinux ουσιαστικά λένε ότι οι διαδικασίες container_t μπορούν μόνο να διαβάζουν/γράφουν/εκτελούν αρχεία με ετικέτα container_file_t. Εάν μια διαδικασία κοντέινερ διαφύγει από το κοντέινερ και προσπαθήσει να γράψει σε περιεχόμενο στον οικοδεσπότη, ο πυρήνας Linux αρνείται την πρόσβαση και επιτρέπει μόνο στη διαδικασία κοντέινερ να γράψει σε περιεχόμενο με ετικέτα container_file_t.

$ podman run -d fedora sleep 100
d4194babf6b877c7100e79de92cd6717166f7302113018686cea650ea40bd7cb
$ podman top -l label
LABEL
system_u:system_r:container_t:s0:c647,c780

Χρήστες SELinux

Υπάρχουν χρήστες SELinux εκτός από τους κανονικούς χρήστες Linux. Οι χρήστες SELinux είναι μέρος μιας πολιτικής SELinux. Κάθε χρήστης Linux αντιστοιχίζεται σε έναν χρήστη SELinux ως μέρος της πολιτικής. Αυτό επιτρέπει στους χρήστες Linux να κληρονομούν τους περιορισμούς και τους κανόνες και μηχανισμούς ασφαλείας που έχουν επιβληθεί στους χρήστες SELinux.