컨테이너 바인드 마운트에서 SELinux z/Z 옵션 설정의 호스트 전체 결과

당신의 이해가 정확합니다. Docker 매뉴얼에서 (기본적으로 podman과 동일):

Configure the selinux label

If you use selinux you can add the z or Z options to modify the selinux label of the host file or directory being mounted into the container. This affects the file or directory on the host machine itself and can have consequences outside of the scope of Docker.

    The z option indicates that the bind mount content is shared among multiple containers.
    The Z option indicates that the bind mount content is private and unshared.

Use extreme caution with these options. Bind-mounting a system directory such as /home or /usr with the Z option renders your host machine inoperable and you may need to relabel the host machine files by hand.

:Z즉, 호스트 디렉터리를 Docker에 바인드 마운트하면 특정 디렉터리가 해당 특정 컨테이너( ) 또는 모든 컨테이너( :z) 에서만 액세스할 수 있도록 SELinux 컨텍스트 레이블이 변경됩니다 .

이러한 작업은 호스트 파일 시스템 자체에서 수행되므로 결과가 발생합니다.컨테이너 가상화를 넘어서. 귀하의 예는 좋은 예입니다. 호스트 웹 루트를 바인드 마운트하면 표준이 httpd_sys_(rw_)content_t대체됩니다. 그러면 호스트의 Apache는 웹 루트에 대한 서비스를 거부합니다.

다행히도 이 문제는 맞춤형 전략 모듈을 사용하여 쉽게 극복할 수 있습니다.

Docker/podman을 사용 :z하거나 :Z시작합니다. 작동하는지 확인하세요. 이제 Set SELinux를 permissive 로 사용하세요 setenforce 0. 그런 다음 아파치를 시작하십시오. SELinux는 허용하기 때문에 작동하지만 AVC 거부는 감사 로그에 기록됩니다.

# use the output of ausearch to create a policy that allows this. This is the dry-run version
ausearch -m avc -ts recent | audit2allow -a
# If you're satisfied that this is indeed a module you want to add to the SELinux system,
# pick a policyname (use a custom prefix like mnj-) and run
ausearch -m avc -ts recent | audit2allow -a -M mnj-[policyname]

이렇게 하면 정책 모듈 파일이 생성됩니다 /etc/selinux/targeted/modules/active/modules.

이 모듈을 설치하고 활성화하려면 다음을 실행하세요.

semodule -i mnj-[policyname].pp

이제 SELinux를 다시 활성화합니다 setenforce 1. 이제 Apache가 Webroot를 다시 제공할 수 있습니다.