У меня есть программа, работающая внутри контейнера Docker, который загружает файл .so, который изменяет поведение программы посредством перехвата и манипулирования памятью. Это поведение блокируется SELinux со следующим сообщением в журнале аудита:
type = AVC msg = аудит (1548166862.066: 2419): avc: отказано {execheap} для pid = 11171 comm = "myProgram" scontext = system_u: system_r: container_t: s0: c426, c629 tcontext = system_u: system_r: container_t: s0: c426, c629 tclass = процесс разрешен = 0
Я крайне настаиваю на том, чтобы просто выполнить это, так audit2allow
как я не хочу допускать такого специфического поведения где-либо еще (поскольку это было бы довольно рискованно).
- Как я могу сказать SELinux, чтобы это поведение было максимально безопасным?
- Могу ли я сделать это так, чтобы в будущем я мог порождать больше контейнеров Docker, выполняющих ту же программу?
ps axZ
и т. Д.), Что ваш контейнер работает в правильном контексте, если вы хотите перепроверить после установки и настройки своей пользовательской политики.