如果你尝试将目录绑定到 Red Hat 下的容器中,你可能会遇到以下问题linux系统。该目录将无法从容器内部读取。除非您添加z
/Z
音量选项。
但我不明白的是为什么我看不到相应的错误/var/log/audit/audit.log
。确实之后:
sudo semodule --disable_dontaudit --build
他们开始被记录:
type=AVC msg=audit(1624806449.148:2225): avc: denied { read } for pid=34576
comm="ls" name="a" dev="xvda2" ino=8546053
scontext=system_u:system_r:container_t:s0:c48,c319
tcontext=unconfined_u:object_r:user_home_t:s0 tclass=dir permissive=0
但是哪条规则禁用了日志记录?我可以看到:
$ sesearch --dontaudit | grep container_t
dontaudit container_t container_t:capability audit_write; [ virt_sandbox_use_netlink ]:False
dontaudit container_t container_t:capability { fsetid net_admin sys_module };
dontaudit container_t container_t:capability2 block_suspend;
dontaudit container_t container_t:dir { add_name write };
dontaudit container_t container_t:file create;
dontaudit container_t container_t:netlink_audit_socket { append bind connect create getattr getopt ioctl lock nlmsg_read nlmsg_relay read setattr setopt shutdown write }; [ virt_sandbox_use_netlink ]:False
dontaudit container_t container_t:udp_socket listen;
这是其中之一吗?还是其他的?
我在 AWS 上运行 Red Hat 实例:
具有高可用性的 Red Hat Enterprise Linux 8 - ami-06ec8443c2a35b0ba