Ubuntu SELinux容器安全實踐

在Ubuntu上實踐SELinux容器安全，需結合工具配置與策略管理，核心要點如下：

一、基礎環境配置

1. 啟用SELinux

   • 編輯 /etc/selinux/config，設置 SELINUX=enforcing，并重啟生效。
   • 臨時切換模式：sudo setenforce 1（強制模式）/ 0（寬容模式）。

2. 安裝必要工具

   sudo apt install selinux-basics selinux-policy-default auditd setroubleshoot  
   

二、容器安全策略配置

1. 為容器分配安全上下文

   • 運行容器時通過 --security-opt 指定類型（如 container_t）：

     docker run --security-opt label=type:container_t -it ubuntu /bin/bash  
     

   • 查看容器安全上下文：docker exec <容器ID> cat /proc/self/attr/current。

2. 控制文件與目錄訪問

   • 為容器文件系統添加標簽：chcon -R -t container_file_t /path/to/container/files。
   • 掛載宿主機目錄時使用 :Z 標簽隔離：

     docker run -v /host/data:/data:Z -it ubuntu  
     

3. 管理布爾值動態調整權限

   • 禁用容器對宿主機cgroup的訪問：sudo setsebool -P container_manage_cgroup off。
   • 查看布爾值狀態：getsebool -a | grep container。

三、高級安全實踐

1. 定制策略模塊

   • 通過 audit2allow 生成自定義策略：

     ausearch -m avc -ts recent | audit2allow -M my_container_policy  
     semodule -i my_container_policy.pp  
     ```。  
     

   • 示例：允許容器讀取特定類型文件（如HTTP配置文件）。

2. 結合容器編排工具

   • 在Kubernetes中，通過Pod安全策略（PSP）或NetworkPolicy限制容器間通信。

3. 監控與審計

   • 分析SELinux日志：/var/log/audit/audit.log，重點關注 type=AVC 拒絕記錄。
   • 使用工具（如Falco）實時監控容器異常行為。

四、注意事項

• 避免特權容器：特權模式會繞過SELinux限制，僅限測試環境使用。
• 性能權衡：強制模式可能增加少量I/O開銷，需在安全性與性能間平衡。
• 兼容性驗證：確保容器鏡像與應用支持SELinux策略，避免因標簽沖突導致服務異常。

參考來源：