كيف يجب تكوين سيلينو عند تشغيل إنجن إكس داخل عامل الميناء

هناك مقال جيد في وثائق عامل الميناء حول الأمن مع عامل الميناء: https://docs.docker.com/articles/security/

ومع ذلك ، فإنه ليس من الواضح جدا بالنسبة لي كيف عمليات الجذر متميزة في الحاوية تعمل فعلا في النظام المضيف ، وكيف أنا من المفترض أن تكوين سيلينوكس للتعامل مع خطر عملية "تسرب" خارج الحاوية.

على سبيل المثال ، أنا تشغيل إنجن إكس في حاوية ، وعندما أفعل "بس" خارج الحاوية ، أستطيع أن أرى جميع عمليات إنجن إكس.

root      7281  4078  0 01:36 ?        00:00:00 nginx: master process nginxwww-data  7309  7281  0 01:36 ?        00:00:00 nginx: worker processwww-data  7310  7281  0 01:36 ?        00:00:00 nginx: worker processwww-data  7311  7281  0 01:36 ?        00:00:00 nginx: worker processwww-data  7312  7281  0 01:36 ?        00:00:00 nginx: worker process

هذه ليست مفاجأة ، لأن هذه هي الطريقة التي يعمل بها عامل الميناء - انها ليست الافتراضية حيث لا يظهر أي شيء خارج فم. مع عامل الميناء ، يتم تشغيل عمليات الحاوية على نظام التشغيل المضيف داخل مساحات الأسماء والامتيازات المحدودة. انهم يتحدثون مباشرة إلى نواة المضيف.

في هذه الحالة ، وأعتقد أنني يجب تكوين سيلينوكس لتأمين عملية نجينكس بدلا من عامل الميناء ، تماما مثل إذا كان يعمل دون عامل الميناء. هل هذا صحيح?

أيضا, هل هناك أي تكوين عامل ميناء معين أكثر ملاءمة لتشغيل خوادم الويب مثل إنجن إكس ?

على افتراض بالطبع أن كنت تستخدم عامل ميناء تمكين سيلينوكس (ريل/سينتوس 7 و فيدورا) ثم لا يجب عليك فعل أي شيء وبصرف النظر عن التأكد من تمكين سيلينوكس وفرض على الجهاز المضيف.

يتم تعيين الحاويات التي تم إنشاؤها باستخدام عامل الميناء أو فيرش تلقائيا مع سياق سيلينوكس المحدد في سياسة سيلينوكس.

قد ترغب في التحقق من سياق الأمان الذي تعمل فيه عمليات الحاوية الخاصة بك. للقيام بذلك ، أضف -Z الخيار ل ps. على سبيل المثال:

LABEL                             PID TTY      STAT   TIME COMMANDsystem_u:system_r:virtd_lxc_t:s0:c5,c342 26351 ? Ss   0:00 /sbin/initsystem_u:system_r:virtd_lxc_t:s0:c5,c342 26458 ? Ss   0:00 /usr/sbin/sshd -D

لاحظ أن سيلينوكس نفسها ليست نامسباسد ، لذلك لا يمكن أن يكون سياسات سيلينوكس منفصلة داخل الحاويات ، كما لو كانت منشآت نظام التشغيل مستقلة.

هذا أيضا لا يبدو أن تكون متطورة (حتى الآن) كما سيلينوكس للحاويات التي تديرها ليبفيرت. ولكن بشكل عام لا ينبغي أن يكون شيئا يجب أن تقلق بشأنه كثيرا.