por que o selinux está negando o acesso ao arquivo (ls / usr / bin) ao tipo container_file_t dentro do meu contêiner

1

Eu tenho um nó RHEL7.4, que ao aplicar o selinux, ele falhará no meu contêiner, verifiquei e descobri que ele está negando a leitura nos diretórios internos do contêiner:

# docker run  -it 172.16.1.120:5000/fluentd:0.14 ls /usr/bin
ls: cannot open directory /usr/bin: Permission denied
# docker run  -it 172.16.1.120:5000/fluentd:0.14 ls -dZl /usr/bin
dr-xr-xr-x. 1 system_u:object_r:container_file_t:s0:c5,c284 root root 12288 Dec 15  2017 /usr/bin

o selinux é obrigatório. mas em outro nó RHEL7.4, com também selinux enforcing, o "ls" pode ser executado:

[root@msun ~]$ # docker run -it fluentd:0.14 ls -l /bin/bash
-rwxr-xr-x. 1 root root 960632 Aug  3  2017 /bin/bash
[root@msun ~]$ # docker run -it fluentd:0.14 ls -dZl /bin/bash
-rwxr-xr-x. 1 system_u:object_r:container_file_t:s0:c122,c942 root root 960632 Aug  3  2017 /bin/bash
[root@msun ~]$ # 

Assim, o mesmo contêiner é negado em um nó e permitido em outro nó. Acho que a negação no nó com falha não está correta, o domínio container_t deve ter permissão para acessar o arquivo com o tipo container_file_t.

Precisa da possível causa e sugestão de como posso investigar o problema no nó com falha?

    
por Michael.Sun 17.09.2018 / 09:10

0 respostas