Tại sao lỗi quyền docker không được ghi lại bởi selinux?

x-yuri

15:57, 27/10/2022

Nếu bạn cố gắn kết một thư mục vào một thùng chứa trong Red Hat, bạn có thể gặp sự cố với selinux. Thư mục sẽ không thể đọc được từ bên trong vùng chứa. Trừ khi bạn thêm một z/z tùy chọn âm lượng.

Nhưng điều tôi không hiểu là tại sao tôi không thể thấy các lỗi tương ứng trong /var/log/audit/audit.log. Thật vậy sau:

Sudo semodule --disable_dontaudit --build

họ bắt đầu đăng nhập:

type=AVC msg=audit(1624806449.148:2225): avc: bị từ chối { đã đọc } cho pid=34576
comm="ls" name="a" dev="xvda2" ino=8546053
scontext=system_u:system_r:container_t:s0:c48,c319
tcontext=unconfined_u:object_r:user_home_t:s0 tclass=dir permissive=0

Nhưng quy tắc nào vô hiệu hóa ghi nhật ký? Tôi có thể thấy:

$ tìm kiếm --dontaudit | grep container_t
dontaudit container_t container_t:khả năng kiểm toán_write; [ virt_sandbox_use_netlink ]:Sai
dontaudit container_t container_t:capability { fsetid net_admin sys_module };
dontaudit container_t container_t:capability2 block_suspend;
dontaudit container_t container_t:dir { add_name write };
dontaudit container_t container_t:tạo tập tin;
dontaudit container_t container_t:netlink_audit_socket { nối thêm liên kết kết nối tạo getattr getopt ioctl lock nlmsg_read nlmsg_relay đọc setattr setopt shutdown write }; [ virt_sandbox_use_netlink ]:Sai
dontaudit container_t container_t:udp_socket nghe;

Nó có phải là một trong số đó không? Hoặc một số khác?

Tôi đang chạy phiên bản Red Hat trên AWS:

Red Hat Enterprise Linux 8 với tính khả dụng cao - ami-06ec8443c2a35b0ba

0 + 0

linux

chia sẻ màn hình

quyền

kiểm toán

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Why are docker permission errors not logged by selinux?

TH: เหตุใดข้อผิดพลาดการอนุญาตนักเทียบท่าจึงไม่ถูกบันทึกโดย selinux

RO: De ce erorile de permisiuni Docker nu sunt înregistrate de selinux?

RU: Почему ошибки разрешений докеров не регистрируются selinux?

VI: Tại sao lỗi quyền docker không được ghi lại bởi selinux?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.