mvi*_*eck 7 fedora selinux socket volume docker
如何允许在启用 SELinux 的情况下访问特定 docker 容器的特定 X unix 套接字?我更喜欢设置为docker run --security-opt.
在 Fedora 25 上,我发现 docker 守护进程--selinux-enabled默认运行。从主机访问共享文件--volume被拒绝。可以允许访问设置标志z。例子:--volume $HOME:$HOME:rw,z。到目前为止,这适用于常规文件。
比较原子博客:在 Docker 中使用 Volumes 会导致 SELinux 出现问题
该z标志不足以允许连接到 X unix 套接字。
目前找到的解决方法:
--security-opt label=disable。优点:这很简单,效果很好,而且我不需要更改主机上的 SELinux 策略。反对:针对这一容器的 SELinux 保护完全被禁用。(到目前为止,最好的解决方案)--ipc=host。优点:简单,有效,SELinux 保持启用状态,无需更改策略。反对:禁用 IPC 命名空间,从而引发另一个安全问题并减少容器隔离。ausearch -c 'xfce4-about' --raw | audit2allow -M my-xfce4about. 下面引用了创建的模块。亲:它有效。反对:所有容器都可以永远访问所有 X unix 套接字,我必须更改 SELinux 策略。(到目前为止,最糟糕的解决方案)。我正在寻找满足此条件的解决方案:
我可以想象的可接受的次要解决方案:
我希望有一个可以用docker run --security-opt.
SELinux 推荐的模块:
module my-xfce4about 1.0;
require {
type container_t;
type xserver_t;
class unix_stream_socket connectto;
}
#============= container_t ==============
#!!!! The file '/tmp/.X11-unix/X0' is mislabeled on your system.
#!!!! Fix with $ restorecon -R -v /tmp/.X11-unix/X0
allow container_t xserver_t:unix_stream_socket connectto;
AVC 示例:容器应用程序(此处xfce4-about:)尝试访问 X unix 套接字/tmp/.X11-unix/X100。套接字文件与--volume=/tmp/.X11-unix/X100:/tmp/.X11-unix/X100:rw,z. 我收到这个 SELinux 警告:
SELinux is preventing xfce4-about from connectto access on
the unix_stream_socket /tmp/.X11-unix/X100.
***** Plugin catchall (100. confidence) suggests **************************
If sie denken, dass es xfce4-about standardmäßig erlaubt sein sollte,
connectto Zugriff auf X100 unix_stream_socket zu erhalten.
Then sie sollten dies als Fehler melden.
Um diesen Zugriff zu erlauben, können Sie ein lokales Richtlinien-Modul erstellen.
Do allow this access for now by executing:
# ausearch -c 'xfce4-about' --raw | audit2allow -M my-xfce4about
# semodule -X 300 -i my-xfce4about.pp
Additional Information:
Source Context system_u:system_r:container_t:s0:c231,c522
Target Context unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1 023
Target Objects /tmp/.X11-unix/X100 [ unix_stream_socket ]
Source xfce4-about
Source Path xfce4-about
Port <Unbekannt>
Host localhost.localdomain
Source RPM Packages
Target RPM Packages
Policy RPM selinux-policy-3.13.1-225.19.fc25.noarch
Selinux Enabled True
Policy Type targeted
Enforcing Mode Enforcing
Host Name localhost.localdomain
Platform Linux localhost.localdomain
4.11.12-200.fc25.x86_64 #1 SMP Fri Jul 21 16:41:43
UTC 2017 x86_64 x86_64
Alert Count 1
First Seen 2017-08-17 20:08:13 CEST
Last Seen 2017-08-17 20:08:13 CEST
Local ID b73182b3-ce4f-4507-a821-ad12ae2bc690
Raw Audit Messages
type=AVC msg=audit(1502993293.76:374): avc: denied { connectto } for pid=5435
comm="xfce4-about" path="/tmp/.X11-unix/X100"
scontext=system_u:system_r:container_t:s0:c231,c522
tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
tclass=unix_stream_socket permissive=0
Hash: xfce4-about,container_t,unconfined_t,unix_stream_socket,connectto
我找到了部分解决方案:docker run 选项--security-opt label=type:container_runtime_t允许访问 X unix 套接字。根本不需要在容器中禁用 SELinux。
根据我在docker 策略源中的理解,标签container_runtime_t允许很多权限,比预期的要多得多。
我仍然希望有一个更严格的解决方案。