一、开场吐槽:当Docker遇上SELinux,一场“鸡同鸭讲”的喜剧
如果你用过Docker,肯定享受过它“秒级部署”的爽感:一条命令,应用乖乖跑起来,像雇了个听话的实习生。但当你兴冲冲打开SELinux(Security-Enhanced Linux)后,画风突变——容器动不动就“Permission denied”,日志报错像天书,仿佛实习生突然被公司保安拦在门口:“工牌呢?权限申请了吗?”
这位保安SELinux,其实是Linux内核的强制访问控制(MAC)工具,专门给系统资源“上锁”。它不像传统Linux权限那样“好说话”(比如root为所欲为),而是铁面无私地检查每个进程能访问啥文件、端口甚至进程。结果?Docker这种喜欢“自由发挥”的容器技术,直接撞枪口上了!
但别急着关SELinux!今天咱们就边笑边学,看看这俩“冤家”怎么磨合,最终成为安全黄金搭档。
二、SELinux速成课:它的固执,其实是有苦衷的
1. 自由派 vs 管控派:DAC 和 MAC 的根本分歧
传统Linux权限叫自主访问控制(DAC),简单粗暴:你是root?整个系统随便逛!但万一黑客攻破root,全盘沦陷。而SELinux代表的强制访问控制(MAC) 则是:“领导(安全策略)说了算,root也得按规矩来!”比如,即使你是root,SELinux策略不允许你读某个文件,那你真就读不了——这种“六亲不认”的设计,专门防御提权攻击。
2. SELinux三把锁:类型、角色、用户
SELinux管控靠三个核心概念:
- 类型(Type):最常见。给进程和文件贴标签,比如Web服务器进程标签是
httpd_t,网站文件标签是httpd_sys_content_t。策略规定:只有httpd_t能读httpd_sys_content_t,其他进程滚粗! - 角色(Role):定义用户能切换的进程类型,比如
sysadm_r角色允许用户启动管理类进程。 - 用户(User):SELinux层面的用户标识,和Linux用户独立。
实际中,80%的场景你只需搞定类型强制——因为Docker的权限冲突基本全在这儿!
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
