如何审核docker容器中的selinux拒绝
我有一个docker容器,当禁用selinux时,它工作得很好; 但是当启用selinux时(即docker守护进程启动时使用--selinux enabled),它无法启动 因此,故障应该是由selinux拒绝引起的,但selinux审核日志中没有显示这一点。当我使用“ausearch-mxxx | audit2allow…”生成策略时,它不包含任何拒绝信息 想知道如何获取容器中发生的selinux拒绝信息,以便在生成策略文件时使用它吗 ps:我检查了被访问文件的标签信息,它们似乎是正确的,但访问(ls)被拒绝:如何审核docker容器中的selinux拒绝,docker,selinux,Docker,Selinux,我有一个docker容器,当禁用selinux时,它工作得很好; 但是当启用selinux时(即docker守护进程启动时使用--selinux enabled),它无法启动 因此,故障应该是由selinux拒绝引起的,但selinux审核日志中没有显示这一点。当我使用“ausearch-mxxx | audit2allow…”生成策略时,它不包含任何拒绝信息 想知道如何获取容器中发生的selinux拒绝信息,以便在生成策略文件时使用它吗 ps:我检查了被访问文件的标签信息,它们似乎是正确的,但
# ls -dlZ /usr/bin
dr-xr-xr-x. root root system_u:object_r:container_file_t:s0:c380,c857 /usr/bin
# ls /usr/bin
ls: cannot open directory /usr/bin: Permission denied
更多:选择的答案回答了问题,但现在的问题是审计日志显示访问权限是读取“unlabeled_t”,但正如“ls-dZ/usr/bin”所示,它是一个“container_file_t”。我在另一个问题中提出这一点:
该策略可能包含dontaudit规则。Dontaudit规则不允许acecss,但禁止特定访问的日志记录 您可以使用
semanage
禁用dontaudit规则:
semanage dontaudit off
解决此问题后,您可能希望重新启用dontaudit规则以减少日志噪音
还可以使用sesearch
搜索可能的dontaudit规则:
sesearch --dontaudit -t container_file_t