У меня есть докер-контейнер, при отключении selinux он работает хорошо;
но когда включен selinux (то есть демон docker запущен с --selinux-enabled), он не может запуститься.
Таким образом, сбой должен быть вызван отказом selinux, но это не отображается в журнале аудита selinux. когда я использую «ausearch -m XXX | audit2allow ...» для генерации политики, она не содержит никакой информации об отказе.
хотите знать, как получить информацию об отказе selinux внутри контейнера, чтобы я мог использовать ее при создании файла политики?
ps: я проверил информацию метки файла, к которому был получен доступ, они кажутся правильными, но доступ (ls) запрещен:
# ls -dlZ /usr/bin
dr-xr-xr-x. root root system_u:object_r:container_file_t:s0:c380,c857 /usr/bin
# ls /usr/bin
ls: cannot open directory /usr/bin: Permission denied
подробнее: выбранный ответ ответил на вопрос, но теперь проблема заключается в том, что журнал аудита показывает, что доступ состоит в чтении «unlabeled_t», но, как показывает «ls -dZ / usr / bin», это «container_file_t» , Я поставил это в отдельный вопрос:
Почему SELinux запрещает доступ к внутренним файлам контейнера и называет их "unlabled_t"?