Docker selinux

编辑/etc/sysconfig/docker文件,把OPTIONS='--selinux-enabled'的--selinux-enabled注释掉,也可以通过这个错误.

 

 

最大的问题就是Linux的一切都不是命名空间 (namespaced). 现在, Docker使用5个命名空间来改变系统的进程: 进程, 网络, Mount, 主机名,共享内存.

虽然有给用户一定的安全级别, 但无法像KVM实施全面的安全保护. 在KVM环境下进程不直接和主机的内核交互.它们也不访问内核的文件系统如/sys和/sys/fs, /proc/*

设备结点是用于和VMs 内核交互的,而不是主机.因此, 想要越过VM来扩展特权级别, 进程要去攻击VM内核,找到HyperVisor的弱点,打破SELinux的控制(sVirt),最终攻击主机的内核.

当你运行在一个容器里时,你就已经直接可以和主机的内核打交道了.

没有被当成命名空间的主要的内核子系统如:

• SELinux
• Cgroups
• /sys下的文件系统
• /proc/sys ,  /proc/sysrq-trigger ,  /proc/irq ,  /proc/bus

没有被当成命名空间的设备:

• /dev/mem
• /dev/sd*  文件系统设备
• 内核模块

如果通过一个特权进程对以上的某个模块通信或攻击的话,你就拥有了整个系统.