如何禁止 Docker Daemon 将主机的根文件系统挂载到容器中

Question

SELinux 将阻止任何未正确标记的内容作为卷挂载到 docker 容器内，作为证明，这里使用单个文件，相同的策略适用于目录：

$ sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      30

使用示例文件：

$ cat sample_script.sh 
echo 'Hello, world'

其默认安全上下文是：

$ ls -lrtZ sample_script.sh 
-rw-------. 1 david david unconfined_u:object_r:user_home_t:s0 20 Oct  3 17:18 sample_script.sh

尝试在容器内使用此文件按预期失败：

$ docker run -v /home/david/sample_script.sh:/sample_script.sh --rm ubuntu bash sample_script.sh
bash: sample_script.sh: Permission denied

并且将记录 AVC 拒绝：

$ sudo ausearch -m avc -ts recent
time->Mon Oct  3 17:39:28 2016
type=AVC msg=audit(1475512768.444:784): avc:  denied  { read } for  pid=28720 comm="bash" name="sample_script.sh" dev="dm-13" ino=101062112 scontext=system_u:system_r:svirt_lxc_net_t:s0:c457,c992 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=file permissive=0

将安全上下文更改为以下项后，Docker 可以使用：

$ sudo chcon -Rt svirt_sandbox_file_t sample_script.sh
$ ls -lrtZ sample_script.sh 
-rw-------. 1 david david unconfined_u:object_r:svirt_sandbox_file_t:s0 20 Oct  3 17:18 sample_script.sh

容器现在可以访问该文件：

$ docker run -v /home/david/sample_script.sh:/sample_script.sh --rm ubuntu bash sample_script.sh
Hello, world

有关 Docker 和 SELinux 的更多信息，请参阅Red Hat 官方文档和本文作者：丹·沃尔什 (Dan Walsh)。

Answer 1