 |
1
xcai May 2, 2025 via Android
我啥也没干,就是装了个 docker ,跑了几个容器啊。
就是装了 docker 的原因 |
 |
2
mark2025 May 2, 2025  2
系统装完第一件事就是禁用这个。p 用没有,事情还多
|
 |
3
fgwmlhdkkkw OP @xcai 问题是许可模式下,没有审计日志。这时候容器也在执行的。
|
 |
4
Falcon1 May 2, 2025
所以我用 Debian ,调这玩意就是折磨自己
|
|
5
Falcon1 May 2, 2025
权限什么所有者什么的调好了,它还有个上下文,你说烦不烦
|
 |
6
james122333 May 2, 2025 via Android
这东西要用不是不行但最好不要用 虽然我都没强烈反对
这东西与 nsa 有关 也难用 |
 |
7
yanqiyu May 2, 2025 via Android
可能性很多,我能想到的一个例子就是程序会先 exec 的时候变更到另外的 transition ,但是 policy 没配对,于是在 enforce 模式 transition 不过去(然后忽略了错误)导致执行出来的进程开始疯狂报错。不看一开始的日志很难判断(另外开始 log spam 的时候会干爆 setroubleshootd 确实很糟糕,我一般这时候会关掉这东西然后手动看 audit.log )
|
|
8
yanqiyu May 2, 2025 via Android
另外你要是用的 Fedora/RedHat 系列系统建议用 podman 启容器,docker 和 SELinux 折腾起来就是要难点
|
 |
9
guochao May 20, 2025
docker 对 selinux 支持的不大行,尽量上 podman 。这两年没搞公司 selinux 这块了,没注意新的工具,以前都是 audit2allow + 人肉审查生成的 type 、fcontext 和 policy ,没注意这个 se troubleshoot d #捂脸
debian 的 apparmor 也很麻烦的,但是这俩都不用吧,就得找其他的加固方案,各有各的缺点 |
Select Language