Dacă încercați să legați montarea unui director într-un container sub Red Hat, este posibil să aveți probleme cu selinux. Directorul va fi ilizibil din interiorul containerului. Cu excepția cazului în care adăugați un z/Z opțiunea de volum.
Dar ceea ce nu înțeleg este de ce nu pot vedea erorile corespunzătoare în /var/log/audit/audit.log. Intr-adevar dupa:
sudo semodule --disable_dontaudit --build
incep sa fie logate:
type=AVC msg=audit(1624806449.148:2225): avc: denied { read } for pid=34576
comm="ls" name="a" dev="xvda2" ino=8546053
scontext=system_u:system_r:container_t:s0:c48,c319
tcontext=unconfined_u:object_r:user_home_t:s0 tclass=dir permissive=0
Dar ce regulă dezactivează înregistrarea? Pot vedea:
$ sesearch --dontaudit | grep container_t
dontaudit container_t container_t:capacitate audit_write; [ virt_sandbox_use_netlink ]:Fals
dontaudit container_t container_t:capacitate { fsetid net_admin sys_module };
dontaudit container_t container_t:capacitate2 block_suspend;
dontaudit container_t container_t:dir { add_name write };
dontaudit container_t container_t:creare fișier;
dontaudit container_t container_t:netlink_audit_socket { append bind connect create getattr getopt ioctl lock nlmsg_read nlmsg_relay read setattr setopt shutdown write }; [ virt_sandbox_use_netlink ]:Fals
dontaudit container_t container_t:udp_socket asculta;
Este unul dintre aceia? Sau altul?
Rulez o instanță Red Hat pe AWS:
Red Hat Enterprise Linux 8 cu disponibilitate ridicată - ami-06ec8443c2a35b0ba
