- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我猜它会标记它启动的容器,但是来自 ps -eZ
的输出,我看不出有什么区别。
例如,容器 etcd
具有相同的域,无论守护进程是否有此选项:
system_u:system_r:container_runtime_t:s0 16212 ? 00:00:00 dnsmasq-nanny
/etc/localtime
和/usr/sbin/dnsmasq 被拒绝。我认为这些是容器文件系统中的文件。如何编写 SELinux 策略以允许访问容器文件系统?
最佳答案
简答
--selinux-enabled
将启用 selinux 策略,允许标记为 svirt_lxc_net_t
的容器进程使用 svirt_sandbox_file_t
读取和写入文件标签。 docker inspect -f '{{ .ProcessLabel }}' <container name>
检查容器来检查容器标签。和 docker inspect -f '{{ .MountLabel }}' <container name>
--selinux-enabled
选项启用 docker selinux 安全策略,详细描述
here .启用后,此策略将:
svirt_sandbox_file_t
标记容器和 svirt_lxc_net_t
标签。这可以通过运行容器并检查应用到它的标签来确认:docker inspect <container id> | grep "Label"
"MountLabel": "system_u:object_r:svirt_sandbox_file_t:s0:c557,c611",
"ProcessLabel": "system_u:system_r:svirt_lxc_net_t:s0:c557,c611",
svirt_sandbox_file_t
是一个 MountLabel,它限制对主机文件系统上的文件的访问。 docker selinux docs说:If a file is labeled svirt_sandbox_file_t, then by default all containers can read it. But if the containers write into a directory that has svirt_sandbox_file_t ownership, they write using their own category
c557,c611
.svirt_lxc_net_t
用于保护进程。根据redhat的解决方案here ,它用于:... isolate the container processes from the host, and it generates a unique Multi-Category Security label to allow SELinux to prevent one container process from attacking other container processes and content.
By default, docker gets access to everything in /usr and most things in /etc.
system_u:object_r:svirt_sandbox_file_t
手动重新标记主机系统上的文件.对于系统文件和目录,通常不建议这样做,因为它可能会对主机产生意想不到的影响。 docker run -it --security-opt label:disable alpine sh
关于docker - docker daemon 选项--selinux-enabled 有什么作用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52033599/
我正在尝试使用新守护程序构建 AOSP 9,但 SELinux 不允许。 我的 sierra_config_ip.te 有这个文件的开头: type sierra_config_ip, domain;
我正在努力学习 Selinux。使用沙箱并使用 VSFTPD 进行试验,我有一个在 Centos 中运行的 vsfptd 服务器。我有匿名用户将文件放在/var/ftp/incoming 中。在远程机
我正在尝试识别在 Android Framework 中将 SELinux 设置为强制模式的配置文件。 请不要回复只是说 adb shell su 0 setenforce permissive 我需
我尝试安装 docker来自 yum 和来自 Centos7 上的安装脚本并且他们都给出了相同的错误: Error: docker-engine-selinux conflicts with dock
Centos 7. 安装 Docker 时提示错误: ~ wget -qO- https://get.docker.com/ |嘘 + sh -c 'sleep 3; yum -y -q instal
当查看特定安全上下文的策略规则时,SELinux 会使用被称为 AVC(Access Vector Cache,访问矢量缓存)的缓存,如果访问被拒绝(也被称为 AVC 拒绝),则会在一个日志文件中记录
auditd 会把 SELinux 的信息都记录在 /var/log/auditd/auditd.log 中。这个文件中记录的信息会非常多,如果手工查看,则效率将非常低下。比如笔者的 Linux 中这
我正在尝试使用 apt-get 在 Ubuntu 11.04 上下载 SELinux . 当我尝试时: $ sudo apt-get install selinux 我收到以下错误: The foll
我正在扩展 Android SELinux 政策以支持专有系统服务。在 Android 中,system_app 域是为特权系统应用程序定义的。我希望我的专有服务具有与 system_app 域中定义
我的/var/log/audit/audit.log 中有这个:type=AVC msg=audit(1482914283.060:32738716): avc: denied { open } fo
当我安装 docker 并运行 service docker start 时,我收到了这条消息: Job for docker.service failed because the control p
有没有办法以编程方式将事件记录到 SELinux 审计日志中?我希望创建一个监控脚本来审核用户的事件。 最佳答案 如果您使用的是 C/C++,则可以通过包含“libaudit.h”,使用库“audit
我们正在设置一台 Linux 机器(准确地说是 CentOS 7)以在团队内共享文件。一个特定的普通用户(老板)将需要能够读/写/修改/删除文件系统或我们共享文件的目录中的所有文件和目录。我只是想知道
通过对 SELinux 的介绍,初学者可以这样认为,在传统 Linux 系统使用访问控制方式的基础上,附加使用 SELinux 可增强系统安全。 那么,SELinux 是如何运行的呢? 在解释 SEL
对于 SELinux 来说,所选择的策略类型直接决定了使用哪种策略规则来执行主体(进程)可以访问的目标(文件或目录资源)。不仅如此,策略类型还决定需要哪些特定的安全上下文属性。通过策略类型,读者可以更
我在centos中更改了以下文件 /etc/sysconfig/selinux 并将其设置为 SELINUX=disabled 并运行 reboot命令。 但现在我无法登录到我的服务器。它显示错误 P
我想使用以下代码检查 SeLinux 的状态,例如强制,允许,禁用。如果状态不是disabled,那么我会建议用户禁用Selinux。 我在 .sh 文件中运行以下内容。 SeLinux 的当前状态是
我正在使用sound_stream包从麦克风获取流,并将其发送到Google Speech To Text Api。当我尝试使用简单的屏幕(如仅一个按钮)来开始收听和获取转录时,它工作正常。我可以立即
我无法理解我在 Android 应用程序上收到的这条消息。家里有专家吗? type=1400 audit(0.0:2233): avc: denied { create } for name="acc
我的音频 HAL 中有一个 unix 套接字守护进程,我需要从我的应用连接到它。 我收到如下 SELinux 拒绝日志: 08-08 10:38:01.939 2622-2622/com.xxx.xx
我是一名优秀的程序员,十分优秀!