我正在开发一个容器,我想添加 -v /home/_username:/home/_username 的静态挂载,但我想避免使用 z 或 Z 挂载选项。我已经能够使用audit2allow创建一个满足我需要的策略,但是如果在主目录中创建一个文件,它会被赋予system_u上下文(因为Docker作为系统运行)而不是我想要的user_u上下文具有。有没有办法指定 Docker 将使用哪个上下文为 selinux 创建文件?我查看了 --security-opts="label=user:USER" 但这似乎是针对特定的用户名而不是安全上下文。
答案1
以用户身份运行容器是否可行?
看https://stackoverflow.com/questions/30052019/docker-creates-files-as-root-in-mounted-volume其中提到在映像中创建用户、以该用户身份运行容器,以及使用chown.