пространства имен Docker и SELinux не работают
Моя система:
- Debian 9 Stretch
- Docker версии 17.06.0-ce, сборка 02c1d87
- SELinux
Все работает нормально.
Но если я также активирую переназначение пространства имен (по умолчанию, с использованием пользователя dockremap), я не смогу запустить или запустить ни один из моих контейнеров.
# docker run hello-world
nsenter: failed to unshare namespaces: Operation not permitted
container_linux.go:262: starting container process caused "process_linux.go:247: running exec setns process for init caused \"exit status 34\""
docker: Error response from daemon: oci runtime error: container_linux.go:262: starting container process caused "process_linux.go:247: running exec setns process for init caused \"exit status 34\"".
Если я отключите принудительное применение SELinux (или пространства имен), все снова в порядке.
Использование audit2allow не сработало.
Есть ли у кого-нибудь несколько советов и приемов, которые помогут мне заставить все это работать?
1
задан peterh says reinstate Monica
13 August 2017 в 02:04
Ссылка
1 ответ
Трудно устранить неполадки в Debian, но это определенно работает в Fedora / RHEL / CentOS. Политики SELinux предназначены для работы с контейнерами и отображением. Я только что сделал это сегодня с контейнерами podman без root.
0