Ich habe ein Programm in einem Docker-Container, das eine .so-Datei lädt, die das Verhalten des Programms durch Hooking und Speichermanipulation ändert. Dieses Verhalten wird von SELinux mit der folgenden Meldung im Überwachungsprotokoll blockiert:
type = AVC msg = audit (1548166862.066: 2419): avc: verweigert {execheap} für pid = 11171 comm = "myProgram" scontext = system_u: system_r: container_t: s0: c426, c629 tcontext = system_u: system_r: container_t: s0: c426, c629 tclass = Prozess zulässig = 0
Ich zögere sehr, dies nur durchzugehen, audit2allow
da ich dieses spezifische Verhalten nirgendwo anders zulassen möchte (da dies ziemlich riskant wäre).
- Wie kann ich SELinux anweisen, dieses spezifische Verhalten so sicher wie möglich zuzulassen?
- Kann ich dies so tun, dass ich in Zukunft mehr Docker-Container erzeugen kann, auf denen dasselbe Programm ausgeführt wird?
ps axZ
usw.), ob Ihr Container im richtigen Kontext ausgeführt wird, wenn Sie nach der Installation und Konfiguration Ihrer benutzerdefinierten Richtlinie eine Überprüfung durchführen möchten.