我正在尝试在 16.04 上运行 SeLinux,我发现获取 SeLinux 的成本是 - 丢失apparmor(预计 100%),以及snap(lxd我想问的)
root@xenial-beta3-7299:/etc/udev/rules.d/70-persistent-net.rules# apt-get install selinux
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following packages were automatically installed and are no longer required:
python3-apparmor python3-libapparmor
Use 'apt autoremove' to remove them.
The following additional packages will be installed:
checkpolicy libapol4 libqpol1 policycoreutils python-ipy python-selinux python-semanage python-sepolgen python-sepolicy
python-setools selinux-utils
Suggested packages:
selinux-policy-dev
Recommended packages:
python-audit selinux-policy-default selinux-policy-dev selinux-policy-ubuntu | selinux-policy
The following packages will be REMOVED:
apparmor apparmor-utils liblxc1 lxc-common lxd snap-confine snapd ubuntu-core-launcher
The following NEW packages will be installed:
checkpolicy libapol4 libqpol1 policycoreutils python-ipy python-selinux python-semanage python-sepolgen python-sepolicy
python-setools selinux selinux-utils
我知道 Ubuntu 中的 SeLinux 支持有点问题。请参阅https://wiki.ubuntu.com/SELinux
但我只是想对此有更多的了解。如果有人有更多的见解。我的用例是 16.04 中非常典型的 docker + kubernetes。并尝试执行 SeLinux。
答案1
AppArmor 是 snapd 限制机制的重要组成部分,因此是硬依赖项(通过 ubuntu-core-launcher/snap-confine)。目前正在讨论将 SELinux 支持作为替代方案(主要是为了启用其他发行版,但在这种情况下也可能有帮助)。
lxc/lxd 可能遇到同样的问题(其容器通常受到限制)。