SELinux (Security-Enhanced Linux) představuje klíčový bezpečnostní mechanismus v distribucích Linuxu založený na politikách, který poskytuje podporu pro přístupovou kontrolu zabezpečení. Při práci s Docker kontejnery na systému CentOS 7 může SELinux způsobovat problémy s přístupem k volume mountům, protože implicitně omezuje, které procesy mohou přistupovat k souborům na hostitelském systému. V tomto článku se dozvíte, jak nakonfigurovat SELinux tak, aby umožňoval spuštění Docker kontejnerů s vlastními volume mounty.
Přehled postupu
Konfigurace SELinux pro povolení Docker kontejnerů s vlastními volume mounty zahrnuje několik kroků, včetně nastavení správných kontextů SELinux na sdílené adresáře a přizpůsobení politik SELinux pro Docker. Tento průvodce vás provede celým procesem krok za krokem.
Krok 1: Zjištění stavu SELinux
Nejprve je potřeba zjistit, zda je SELinux aktivní. To lze provést pomocí následujícího příkazu:
getenforce
Pokud příkaz vrátí Enforcing, SELinux je aktivní a vynucuje politiky bezpečnosti.
Krok 2: Nastavení kontextů SELinux
Pro povolení přístupu k volume mountům je nutné nastavit správný kontext SELinux na adresáře, které budou mountovány do kontejnerů. Použijte příkaz chcon pro nastavení kontextu svirt_sandbox_file_t, který umožňuje kontejnerům přístup:
chcon -Rt svirt_sandbox_file_t /cesta/k/volume
Nahraďte /cesta/k/volume skutečnou cestou k adresáři, který chcete použít jako volume.
Krok 3: Použití pravidel boolean SELinux
SELinux nabízí tzv. boolean proměnné, které umožňují jemnější ovládání přístupových práv. Pro Docker jsou relevantní například:
docker_can_networkcontainer_manage_cgroup
Pro povolení spuštění Docker kontejnerů s vlastními volume mounty může být potřeba povolit následující boolean:
setsebool -P container_manage_cgroup on
Krok 4: Audit a ladění
Při problémech s přístupem můžete použít nástroj audit2allow pro analýzu logů auditu a identifikaci potřebných změn v politikách SELinux. Tento nástroj může také generovat modul SELinux, který můžete nainstalovat pro řešení specifických problémů s přístupem.
Konfigurace SELinux pro práci s Docker kontejnery na CentOS 7 vyžaduje pozornost k detailům a porozumění základním principům SELinux. Nastavením správných kontextů a použitím boolean proměnných SELinux můžete zajistit, že vaše Docker kontejnery budou moci bezpečně přistupovat k volume mountům. V případě potřeby neváhejte použít audit logy pro další ladění a přizpůsobení politik SELinux.
