这是一篇很棒的文章,最终在实践中展示了如何扩展默认的 Docker SELinux 策略。
我今天用它来构建 Chrony / NTP 的镜像,但我不得不发现,当启用 SELinux 时,提到的“--add-cap SYS_TIME”是不够的,因为我可以清楚地看到一条 AVC 消息告诉我这个能力被拒绝了。
然而,结合本指南和此处的指南:http://developerblog.redhat.com/2015/04/21/introducing-the-atomic-comma…,我能够打包一个镜像,该镜像的 SELinux 策略模块在“atomic install”运行期间安装。
总的来说,我认为结合 Docker 和 SELinux 模块上这些相对容易的增强功能,使用和自定义 SELinux 变得更加容易。它真的不像人们通常说的那样邪恶 :)
这是一篇很棒的文章,最终在实践中展示了如何扩展默认的 Docker SELinux 策略。
我今天用它来构建 Chrony / NTP 的镜像,但我不得不发现,当启用 SELinux 时,提到的“--add-cap SYS_TIME”是不够的,因为我可以清楚地看到一条 AVC 消息告诉我这个能力被拒绝了。
然而,结合本指南和此处的指南:http://developerblog.redhat.com/2015/04/21/introducing-the-atomic-comma…,我能够打包一个镜像,该镜像的 SELinux 策略模块在“atomic install”运行期间安装。
总的来说,我认为结合 Docker 和 SELinux 模块上这些相对容易的增强功能,使用和自定义 SELinux 变得更加容易。它真的不像人们通常说的那样邪恶 :)