Docker selinux

最新推荐文章于 2024-05-22 09:02:55 发布
最新推荐文章于 2024-05-22 09:02:55 发布
阅读量351 收藏
点赞数
文章标签: 运维
原文链接:http://www.cnblogs.com/SZLLQ2000/p/5480908.html
版权

编辑/etc/sysconfig/docker文件,把OPTIONS='--selinux-enabled'的--selinux-enabled注释掉,也可以通过这个错误.

 

 

最大的问题就是Linux的一切都不是命名空间 (namespaced). 现在, Docker使用5个命名空间来改变系统的进程: 进程, 网络, Mount, 主机名,共享内存.

虽然有给用户一定的安全级别, 但无法像KVM实施全面的安全保护. 在KVM环境下进程不直接和主机的内核交互.它们也不访问内核的文件系统如/sys和/sys/fs, /proc/*

设备结点是用于和VMs 内核交互的,而不是主机.因此, 想要越过VM来扩展特权级别, 进程要去攻击VM内核,找到HyperVisor的弱点,打破SELinux的控制(sVirt),最终攻击主机的内核.

当你运行在一个容器里时,你就已经直接可以和主机的内核打交道了.

没有被当成命名空间的主要的内核子系统如:

  • SELinux
  • Cgroups
  • /sys下的文件系统
  • /proc/sys ,  /proc/sysrq-trigger ,  /proc/irq ,  /proc/bus

没有被当成命名空间的设备:

  • /dev/mem
  • /dev/sd*  文件系统设备
  • 内核模块

如果通过一个特权进程对以上的某个模块通信或攻击的话,你就拥有了整个系统.

转载于:https://www.cnblogs.com/SZLLQ2000/p/5480908.html

weixin_30325487
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux与Docker
weixin_38428310的博客
03-21 952
Linux常用命令,doxker和dockerfile
Linux Docker使用
Leo-夜空的博客
10-09 319
Docker工具的安装与使用
Linux Docker容器 简介与安装及使用
weixin_45029822的博客
08-18 890
一、Docker简介 Docker 是一个开源的应用容器引擎,基于 Go 语言 并遵从 Apache2.0 协议开源。 Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。 容器是完全使用沙箱机制,相互之间不会有任何接口(类似 iPhone 的 app),更重要的是容器性能开销极低。 Docker 从 17.03 版本之后分为 CE(Community Edition: 社区版) 和 EE(Enterprise Edi
liunx安装docker
qq_29072049的博客
08-09 462
安装docker
安装docker报Requires: container-selinux >= 2.9
最新发布
qq_43193782的博客
05-22 243
原因:container-selinux版本低或者是没安装的原因 解决方式: wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo yum install epel-release yum makecache yum install container-selinux1、通过docker run执行命令,或许返回信息 2、通过docker logs 去获取日志,做有针对性的筛选 3、通过s
docker安装17.03.0版本报错 ->软件包 docker-ce-selinux 已经被 docker-ce 取代,但是取代的软件包并未满足需求
吕秀军的博客
05-16 590
先执行下面 yum install https://download.docker.com/linux/centos/7/x86_64/stable/Packages/docker-ce-selinux-17.03.0.ce-1.el7.centos.noarch.rpm 在执行安装docker命令即可
在CentOS上为Docker开启SELinux
weixin_30322405的博客
12-20 399
生产服务器使用的是CentOS 7系统,安装Docker也一直都是使用yum命令直接从CentOS自己的源安装。自从Docker项目改名为moby,进而诞生CE和EE两个不同版本后。不知是因为版权还是其他的什么原因,CentOS源中的Docker版本不再更新了,default维持在1.12.6,latest为1.13.1。 为了使用新版本的Docker,只能添加官方repo,然后安装dock...
永久关闭selinux
m0_58625397的博客
02-16 677
永久关闭selinux
docker-selinux
05-05
【标题】"docker-selinux" 是一个与 Docker 容器技术相关的项目,它主要关注的是在使用 Docker 运行容器时与 SELinux(Security-Enhanced Linux)的集成。SELinux 是一种强制访问控制(MAC)系统,用于增强 Linux ...
Linux 安装docker
08-01
docker-ce-17.03.0.ce-1.el7.centos.x86_64.rpm docker-ce-selinux-17.03.0.ce-1.el7.centos.noarch.rpm docker-compose-Linux-x86_64 docker-compose.yml
docker-engine-selinux-17.03.1.ce-1.el7.centos.noarch.rpm
08-15
docker
docker-ce-selinux-17.03.2.ce-1.el7.centos.noarch
10-26
docker依赖包docker-ce-selinux-17.03.2.ce-1.el7.centos.noarch.rpm
docker-engine-selinux-1.13.1.cs9
12-29
docker-engine-selinux-1.13.1.cs9
docker离线资源(包含container-selinux-2.9-4).rar
02-21
docker安装部署依赖包container-selinux-2.9-4.el7.noarch.rpm,yum资源无法下载。
SELinux开启导致Docker容器启动失败
u012903034的博客
03-22 415
当你在Linux系统上启用SELinux(Security-Enhanced Linux)时,可能会遇到Docker容器启动失败的问题。在本文中,我们将探讨开启SELinux会导致Docker容器启动失败的原因,并提供关闭SELinux的方法。
Docker
m0_60181979的博客
08-14 1188
Docker
dockerselinux
球球之家
06-14 4303
selinux介绍 SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。 设想一下,如果一个以 root 身份运行的网络服务存在 0day 漏洞,黑客就可以利用这个漏洞,以 root 的身份在您的服务器上为所欲为了。是不是很可怕? SELinux 就是来解决这个问题的。 selinux配置 centos7中在/etc/selinux/config中进...
安装 Docker-ce过程中,出现 container-selinux 错误
qq_43297410的博客
05-14 3612
在安装 Docker-ce 时,出现错误 提示 container-selinux >= 2.9 可能是因为container-selinux的版本太低或是没有安装container-selinux。所以要重新安装container-selinux。 解决方法 wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.co...
CentOS安装Docker-CE时提示需要selinux大于2-9
weixin_48104657的博客
05-25 771
安装最新版Docker-CE(旧版成为DockerDocker-engine) 1.安装必要的工具 yum install -y yum-utils device-mapper-persistent-data lvm2 2.添加Docker的存储库 yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo 3.安装 yum install -y docker-ce 遇到提示 错误:软件
Docker安全防护实战指南
为了保护Docker守护进程,读者将学习如何加固Docker主机,如使用Docker Machine、SELinux和AppArmor等。 接下来,书中介绍了Docker组件的安全性,特别是Docker Content Trust,这是一个用于验证和签署Docker镜像的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值