Warning: file_get_contents(/data/phpspider/zhask/data//catemap/1/cocoa/3.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
如何审核docker容器中的selinux拒绝_Docker_Selinux - Fatal编程技术网
Fatal编程技术网
  • docker/
  • 如何审核docker容器中的selinux拒绝

如何审核docker容器中的selinux拒绝

docker

如何审核docker容器中的selinux拒绝,docker,selinux,Docker,Selinux,我有一个docker容器,当禁用selinux时,它工作得很好; 但是当启用selinux时(即docker守护进程启动时使用--selinux enabled),它无法启动 因此,故障应该是由selinux拒绝引起的,但selinux审核日志中没有显示这一点。当我使用“ausearch-mxxx | audit2allow…”生成策略时,它不包含任何拒绝信息 想知道如何获取容器中发生的selinux拒绝信息,以便在生成策略文件时使用它吗 ps:我检查了被访问文件的标签信息,它们似乎是正确的,但

我有一个docker容器,当禁用selinux时,它工作得很好; 但是当启用selinux时(即docker守护进程启动时使用--selinux enabled),它无法启动

因此,故障应该是由selinux拒绝引起的,但selinux审核日志中没有显示这一点。当我使用“ausearch-mxxx | audit2allow…”生成策略时,它不包含任何拒绝信息

想知道如何获取容器中发生的selinux拒绝信息,以便在生成策略文件时使用它吗

ps:我检查了被访问文件的标签信息,它们似乎是正确的,但访问(ls)被拒绝:

# ls -dlZ /usr/bin
dr-xr-xr-x. root root system_u:object_r:container_file_t:s0:c380,c857 /usr/bin
# ls /usr/bin
ls: cannot open directory /usr/bin: Permission denied
更多:选择的答案回答了问题,但现在的问题是审计日志显示访问权限是读取“unlabeled_t”,但正如“ls-dZ/usr/bin”所示,它是一个“container_file_t”。我在另一个问题中提出这一点:

该策略可能包含dontaudit规则。Dontaudit规则不允许acecss,但禁止特定访问的日志记录

您可以使用
semanage
禁用dontaudit规则:

semanage dontaudit off
解决此问题后,您可能希望重新启用dontaudit规则以减少日志噪音

还可以使用
sesearch
搜索可能的dontaudit规则:

sesearch --dontaudit -t container_file_t