É difícil solucionar problemas no Debian, mas isso definitivamente funciona no Fedora / RHEL / CentOS. As políticas do SELinux são projetadas para contêineres e trabalhos de mapeamento. Eu só fiz isso hoje com recipientes sem raiz podman.
Meu sistema:
Isso está funcionando bem.
Mas, se eu também ativar o Remapeamento de namespace (padrão, usando o usuário dockremap), não posso executar nem iniciar nenhum dos meus Containers.
# docker run hello-world
nsenter: failed to unshare namespaces: Operation not permitted
container_linux.go:262: starting container process caused "process_linux.go:247: running exec setns process for init caused \"exit status 34\""
docker: Error response from daemon: oci runtime error: container_linux.go:262: starting container process caused "process_linux.go:247: running exec setns process for init caused \"exit status 34\"".
Se eu desabilitar o cumprimento do SELinux (ou namespaces), tudo estará bem novamente.
O uso do audit2allow não funcionou.
Alguém tem algumas dicas & truques para eu fazer a coisa toda funcionar?
É difícil solucionar problemas no Debian, mas isso definitivamente funciona no Fedora / RHEL / CentOS. As políticas do SELinux são projetadas para contêineres e trabalhos de mapeamento. Eu só fiz isso hoje com recipientes sem raiz podman.
Tags debian selinux namespaces