docker與selinux
阿新 • • 發佈:2018-11-30
selinux介紹
SELinux 主要作用就是最大限度地減小系統中服務程序可訪問的資源(最小許可權原則)。
設想一下,如果一個以 root 身份執行的網路服務存在 0day 漏洞,黑客就可以利用這個漏洞,以 root 的身份在您的伺服器上為所欲為了。是不是很可怕?
SELinux 就是來解決這個問題的。
selinux配置
centos7中在/etc/selinux/config中進行配置
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
enforcing 一旦出現許可權越界,就會阻止
permissive 出現許可權越界,會記錄日誌不會阻止
disabled 禁用了,不管了
還有一種臨時方案
setenforce 1 開啟
setenforce 0 關閉
docker配置
在/etc/sysconfig/docker中
將OPTIONS=’–selinux-enabled –log-driver=journald –signature-verification=false’
改為OPTIONS=’–selinux-enabled=false –log-driver=journald –signature-verification=false’
其他
目前我在搭建svn,hbase,docker均遇到未關閉selinux導致的異常情況啟動不了