个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
在 Ubuntu 14.04 上,我用 SELinux 运行 Docker,据我所知,Docker 会读取 $Selinux-Root-Dir/default/contexts/lxc_contexts。但是我找不到这个文件,所以我创建了这个文件并放了一些内容如下:
process = "system_u:system_r:svirt_lxc_net_t:s0"
content = "system_u:object_r:virt_var_lib_t:s0"
file = "system_u:object_r:svirt_lxc_file_t:s0"
sandbox_kvm_process = "system_u:system_r:svirt_qemu_net_t:s0"
sandbox_lxc_process = "system_u:system_r:svirt_lxc_net_t:s0"
然后我用 Selinux 的许可模式运行 Docker,docker -dD --selinux-enabled=false和 docker run -it --rm ubuntu/bin/bash
最后我想用audit2allow生成一个*.te和*.pp文件,我执行 cat/var/log/audit/audit.log | audit2allow -M container,但它说
编译失败:
container.te:41: 第 41 行标记“mlsconstrain”处出现错误“语法错误”:
#约束规则:
mlsconstrain chr_file { create relabelto } ((h1 dom h2 -Fail-) and (l2 eq h2) );约束被拒绝
/usr/bin/checkmodule:解析配置时遇到错误
/usr/bin/checkmodule:从 container.te 加载策略配置
我cat了container.te,内容是:
#!!!!此 avc 违反约束。您需要修改源或目标类型的属性以允许此访问。
#约束规则:
mlsconstrain chr_file { create relabelto } ((h1 dom h2 -Fail-) and (l2 eq h2) );约束被拒绝
mlsconstrain chr_file { relabelfrom } ((h1 dom h2 -Fail-) );约束被拒绝
....
# 可能的原因是源级别(s0)和目标级别(s0:c96,c879)不同。
所以我的问题:
容器的类型是否错误?如何关闭此约束或如何解决此问题?
最佳答案
我不知道您的 container.te 文件的第 41 行。一般来说,“语法错误”表示缺少 selinux 类型或未知的 selinux 接口(interface),这意味着问题出在不同的地方。
但是我注意到了一些事情:
--selinux-enabled=true 以支持 SELinuxcat/var/log/audit/audit.log | audit2allow -M container 你处理所有记录的行。最好只将需要的行复制到新文件中。s0 是级别而不是标签。而“重新标记”意味着改变类型。参见 labeling files .默认情况下,Ubuntu 预装了 AppArmor,如果你想使用 SELinux,你必须先删除/禁用它。 Ubuntu 和 Debian 没有为 SELinux 提供 Docker 策略。
可能的解决方案:
svirt_lxc_net_t 来自 virt.te lxc_contexts。关于ubuntu - Docker 在 ubuntu 上使用 SELinux 运行违反约束,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30500346/
24
4
0
出现以下错误: INSERT INTO GroupMembers VALUES ('Goldfrat', 'Simon Palm') * ERROR at line 1: ORA-02291: int
据称以下代码违反了 OO 指导原则。 public class Main { public static String NAME = "James"; public Main() {
我创建了一个名为 EvenementBean 的 EJB 2 进行测试。然后我就把它删除了。现在每当尝试部署我的 .ear 项目时,我都会收到以下错误: WARN [verifier] EJB
我正在开发的一个应用程序正在使用 Oracle 和 Hibernate 作为 ORM。当我尝试插入 PartyUserObject 时,我不断收到以下错误: could not insert: [Pe
我已经实现了一些代码行: if(condition){ Class a = new Class(); method(a.b(), a.c()); }else{ method(null, n
这个问题在这里已经有了答案: Static analysis of noexcept "violations" in C++ (2 个答案) 关闭 4 年前。 我大量使用 noexcept,不幸的是
我有一个 MVVM 应用程序,在我的几个 VM 中,我使用 CollectionViewSource.GetDefaultView(datasource) 来初始化我的 ICollectionView
当我尝试运行我的网站时,它显示 500 internal server error : Internal Server Error The server encountered an internal
运行生存分析,假设变量的 p 值具有统计显着性 - 假设与结果呈正相关。但是,根据 Schoenfeld 残差,违反了比例风险 (PH) 假设。 在纠正 PH 违规后,以下哪种情况可能发生? p 值可
我知道以下是一个主观问题,但您的指导方针确实有助于我追求干净、可测试的代码。 请考虑以下示例,我认为它违反了一系列设计原则。 public class OfferEligibilityCheckerS
关闭。这个问题是opinion-based 。目前不接受答案。 想要改进这个问题吗?更新问题,以便 editing this post 可以用事实和引文来回答它。 . 已关闭10 年前。 Improv
当我尝试将 Paho MQTT javacrript 与 Mosquito MQTT websockets 一起使用时,只要我用来服务页面的 Web 服务器和 Mosquito 位于同一服务器(同一来
我在通过 hibernate 映射 oracle 时遇到问题 我有这些类(class) Stock.java package com.mc.stock; import java.uti
在我的项目中,我试图解决 Sonar 违规问题,我坚持使用这个,我有以下代码 不允许使用以下属性:语言 谁能告诉我如何解决这个 Sonar 违规问题?我可以简单地删除这种“语言”吗属性还是我应该输
我正在尝试记录唯一标识符,所以我无法承受重复记录我的 ID 当我尝试更新名为 Clients 的 SQL Server 表时,我收到类似这样的错误。 Violation of PRIMARY KEY
我正在尝试实现一个解决方案,以在给定的整数列表中找到第 k 个最大的元素,其中重复项具有 O(N*log(N)) Big-O 表示法的平均时间复杂度,其中 N 是列表中元素的数量。 根据我的理解,合并
如果 tuple_size 模板是一个完整的类型,结构化绑定(bind)特性表示它会像分解一样与元组一起使用。当 std::tuple_size 在程序的某一点是给定类型的完整类型而在另一点不完整时会
我们的应用目前已从 google play 中删除,因为它具有 SMS 权限。我们已经删除了权限并上传了一个新的 apk,但项目的状态仍然是删除。我们是否必须等待他们审核,或者是否需要任何其他必要的步
*i 和 u.i 如何在此代码中打印不同的数字,即使 i 被定义为 int *i = &u.i;?我只能假设我在这里触发了 UB,但我看不出具体情况。 ( 如果我选择“C”作为语言,ideone de
您好,我正在 Oracle SQL dev 中开发一个数据库,它试图从另一个表访问外键。我目前正在处理使用以下 CREATE 语句创建的 ItemOrdered 表 CREATE TABLE Item
我是一名优秀的程序员,十分优秀!