当前位置: 首页 > news >正文

Docker 容器隔离关键技术:SELinux

news 2026/2/9 5:26:17

Docker 容器隔离关键技术:SELinux

SELinux(Security-Enhanced Linux) 是 Linux 内核中的一项安全机制,用于实现强制访问控制(MAC)。Docker 利用了 SELinux 来增强容器的隔离性,通过对文件、进程、资源打标签并设置访问规则,防止容器之间以及容器与宿主机之间的资源越界访问。

在生产环境中,SELinux 是一项重要的隔离技术,但要注意,它并不孤立,还需要与**自主访问控制(DAC)**等机制一起协同工作。

什么是 SELinux?

通俗比喻

假设你是一家公司的管理员(宿主机),公司有许多员工(容器)在不同部门(进程)。这些员工在工作时需要访问资料(文件、资源)。为确保公司安全:

  • 你给每位员工分发了钥匙(传统文件权限 DAC)。
  • 但即使有钥匙,你还规定必须佩戴工牌(SELinux 标签)才能进入特定房间。
  • 某些特别敏感的资料,只允许高级别员工访问(SELinux 规则定义)。

SELinux 就是这套“工牌+规则”系统

  1. 钥匙(DAC)解决了“有权限才能尝试打开房间”。
  2. 工牌(SELinux)规定“即使有钥匙,也要有正确的工牌”。

SELinux 的作用

  1. 强制访问控制(MAC)

    • 即使容器通过了传统的权限检查(DAC,如读写权限),也必须符合 SELinux 的标签规则才能访问资源。

  2. 增强隔离性

    • 每个容器都有独立的标签,限制其只能访问指定资源,防止容器互相干扰或攻击宿主机。

  3. 控制挂载资源访问(Volume 独占挂载)

    • SELinux 会给挂载到容器中的 Volume 目录打上标签,确保容器只能访问自己的挂载点,防止越界访问。

  4. 限制特权容器的访问

    • SELinux 在非特权容器中生效,但对于特权容器(--privileged 模式),SELinux 会被禁用。

SELinux 与 DAC 的结合

什么是 DAC(自主访问控制)?
  • DAC(Discretionary Access Control) 是 Linux 的传统访问控制机制,基于用户、组、和文件权限(如 rw-r--r--)。
  • DAC 决定了哪些用户可以尝试访问资源(如读写文件)。
SELinux 和 DAC 的关系
  • DAC 是第一道检查:当容器访问资源时,DAC 首先检查该操作是否符合文件权限。
  • SELinux 是第二道检查:如果 DAC 允许,SELinux 会进一步检查访问是否符合标签规则。

比喻

  • DAC 是钥匙:允许你尝试打开门。
  • SELinux 是工牌:即使你有钥匙,也必须有正确的工牌才能进入。

SELinux 的工作方式

  1. SELinux 标签(安全上下文)

    • 每个进程、文件、目录都会被打上一个 SELinux 标签,称为安全上下文(Security Context)。
    • 安全上下文包含三个部分:用户、角色、类型。
      system_u:object_r:container_file_t:s0
      • system_u:用户,表示系统用户。
      • object_r:角色,表示对象角色。
      • container_file_t:类型,表示该文件属于容器文件类型。

  2. SELinux 策略

    • SELinux 通过策略文件定义哪些进程可以访问哪些资源。例如:
      • container_t 类型的进程只能访问 container_file_t 类型的文件。
      • container_t 类型进程无法访问这些资源。

SELinux 在 Docker 中的应用

1. 启用 SELinux

确保宿主机的 SELinux 功能已启用,可以通过以下命令查看:

getenforce
  • Enforcing:SELinux 正在强制执行规则。
  • Permissive:SELinux 仅记录违规行为,不阻止操作。
  • Disabled:SELinux 已禁用(不推荐)。

编辑 Docker 配置文件(/etc/docker/daemon.json),启用 SELinux 支持:

{"selinux-enabled": true
}

重启 Docker:

systemctl restart docker
2. 挂载资源的独占访问(Volume 独占挂载)

当容器挂载宿主机目录时,SELinux 会为挂载点打上独特标签,确保该目录只能被挂载的容器访问,其他容器无权访问。例如:

docker run -v /host/data:/data:Z -it ubuntu
  • :Z:告诉 Docker 设置 SELinux 标签,确保挂载点的安全。
3. 特权容器的限制

特权容器(Privileged Container) 是 Docker 中一种特殊模式,通过 --privileged 参数启动:

docker run --privileged -it ubuntu

特点

  • 特权容器绕过了所有 SELinux 限制,标签规则不会生效。
  • 容器内的进程可以直接访问宿主机的所有设备和资源。

安全风险

  • 特权容器本质上等同于宿主机的 root 用户,任何漏洞都会危及宿主机安全。
  • 建议仅在测试或特定需求场景中使用特权容器

SELinux 的优点

  1. 细粒度控制

    • 通过标签和策略,严格限制容器的访问范围。

  2. 动态调整

    • 文件和进程标签根据任务动态分配,减少人为配置复杂性。

  3. 多层防护

    • 与 DAC、Capabilities、Seccomp 等机制结合,提供全面保护。

SELinux 的局限性

  1. 复杂性

    • 配置和调试 SELinux 规则需要一定的学习成本。

  2. 性能开销

    • 每次访问都需要检查标签规则,可能会稍微增加 I/O 开销。

  3. 特权容器绕过限制

    • 如果使用 --privileged 启动容器,SELinux 将完全失效。

SELinux 与其他隔离技术的对比

特性SELinuxDACSeccompCapabilities
作用范围文件、进程、网络等资源访问隔离文件权限检查系统调用限制高权限操作限制
强制性强制访问控制(MAC)自主访问控制(用户可修改权限)按系统调用进行白名单或黑名单过滤限制特定权限
适用场景防止容器间或容器与宿主机资源冲突用户级文件操作管理禁止危险的系统调用禁用容器中的高风险操作

最佳实践

  1. 启用 SELinux

    • 确保宿主机的 SELinux 处于 Enforcing 模式,Docker 的 SELinux 支持已开启。

  2. 使用 :Z 标签挂载 Volume

    • 挂载宿主机目录时,确保使用 SELinux 标签限制容器的访问范围。

  3. 避免使用特权容器

    • 特权容器会绕过 SELinux 的所有限制,建议尽量避免使用。

  4. 结合其他机制

    • 将 SELinux 与 DAC、Capabilities、Seccomp 等技术结合,形成多层防护。

总结

SELinux 是 Docker 容器中一项重要的隔离技术,通过标签和规则,它可以:

  • 限制容器对资源的访问。
  • 增强容器之间的隔离性。
  • 防止容器攻破后越界访问宿主机。

但是,SELinux 需要与 DAC 等传统权限机制配合使用,并且对特权容器无效。在生产环境中,合理配置 SELinux 是保障容器安全的关键之一。

相关文章:

Docker 容器隔离关键技术:SELinux

Docker 容器隔离关键技术:SELinux SELinux(Security-Enhanced Linux) 是 Linux 内核中的一项安全机制,用于实现强制访问控制(MAC)。Docker 利用了 SELinux 来增强容器的隔离性,通过对文件、进程…...

编程日记 2024/12/2 9:41:16

Java并发07之ThreadLocal

文章目录 1 ThreadLocal原理2 内部结构3 内存泄露问题4 entry的key为什么被设计为弱引用 1 ThreadLocal原理 ThreadLocal类用来提供线程内部的局部变量。这种变量在多线程环境下访问时能保证各个线程的变量相对独立于其他线程内的变量。ThreadLocal实例通常来说都是private st…...

编程日记 2024/12/2 9:40:15

【单细胞数据库】癌症单细胞数据库CancerSEA

数据库地址:home (hrbmu.edu.cn) Cite Huating Yuan, Min Yan, Guanxiong Zhang, Wei Liu, Chunyu Deng, Gaoming Liao, Liwen Xu, Tao Luo, Haoteng Yan, Zhilin Long, Aiai Shi, Tingting Zhao, Yun Xiao, Xia Li, CancerSEA: a cancer single-cell state atlas…...

编程日记 2024/12/2 9:39:14

Rsa加解密 + 签名验签

Rsa加解密 概述聚合算法名称(用于创建加密器)基本概念填充方式分块加密 基本使用生成密钥加解密创建加密器设置模式(加密)、公钥对明文加密,并对结果进行Base64编码对以上结果,进行解密 设置模式&#xff0…...

编程日记 2024/12/2 9:36:09

bugku-web-留言板1

大小写绕过也不行 <ScRipt>ALeRt(“XSS”);</sCRipT> 双写绕过可以 <scscriptript>alert(z)</scscriptript> 改变大小写 在测试过程中&#xff0c;我们可以改变测试语句的大小写来绕过XSS规则&#xff1a; 比如&#xff1a;<script>alert(“xs…...

编程日记 2024/12/2 9:32:03

进程状态的学习

进程状态就是 task_struct 内的一个整数 状态间是可以进行转化的 运行&#xff1a; 每一个框都是进程的task_struct&#xff0c;都有唯一的pcb和pid来标识它的唯一性 让CPU选择一个进程去运行&#xff0c;本质是选择一个进程的PCB去运行&#xff0c;task_struct里一定有内存指…...

编程日记 2024/12/2 9:30:00

Vue 2.0->3.0学习笔记(Vue 3 (四)- Composition API 的优势)

Vue 2.0-&#xff1e;3.0学习笔记&#xff08;Vue 3 &#xff08;四&#xff09;- Composition API 的优势&#xff09; Composition API 的优势1. Options API 存在的问题2. Composition API 的优势 Composition API 的优势 1. Options API 存在的问题 笔记 使用传统OptionsA…...

编程日记 2024/12/2 9:28:58

close and shutdown?

背景&#xff1a;我们要讲述的是网络编程中常用的两个API&#xff1a; #include <unistd.h> int close(int fd); #include <sys/socket.h> int shutdown(int sockfd, int how); 以及TCP的半连接&#xff0c;半打开。 shutdown函数的行为依赖第二个参数区分&#xf…...

编程日记 2024/12/2 9:27:56

PostgreSQL + hasura + Apollo + GraphQL + React + Antd

技术栈 PostgreSQL hasura Apollo GraphQL React Antd 适用于复杂的查询,快速开发 环境安装 安装PostgreSQL hasura,使用docker安装 使用 Docker Compose 部署时&#xff0c;它会同时启动两个容器PostgreSQL和 Hasura GraphQL ,如下 version: "3.6" serv…...

编程日记 2024/12/2 9:25:54

Android笔记【10】

一、前言 学习课程时&#xff0c;对于自己不懂的点的记录。 二、内容 学习一段代码&#xff1a; val drawerState rememberDrawerState(DrawerValue.Closed)val scope rememberCoroutineScope()Scaffold (topBar{TopAppBar(navigationIcon {IconButton(onClick {scope.lau…...

编程日记 2024/12/2 9:24:53

Leetcode打卡:N皇后

执行结果&#xff1a;通过 题目&#xff1a;51 N皇后 按照国际象棋的规则&#xff0c;皇后可以攻击与之处在同一行或同一列或同一斜线上的棋子。 n 皇后问题 研究的是如何将 n 个皇后放置在 nn 的棋盘上&#xff0c;并且使皇后彼此之间不能相互攻击。 给你一个整数 n &#…...

编程日记 2024/12/2 9:23:51

Linux内核4.14版本——ccf时钟子系统(3)——ccf一些核心结构体

目录 1. struct clk_hw 2. struct clk_ops 3. struct clk_core 4. struct clk_notifier 5. struct clk 6. struct clk_gate 7. struct clk_divider 8. struct clk_mux 9. struct clk_fixed_factor 10. struct clk_fractional_divider 11. struct clk_multiplier 12…...

编程日记 2024/12/2 9:21:48

[Deep Learning] 深度学习中常用函数的整理与介绍(pytorch为例)

文章目录 深度学习中常用函数的整理与介绍常见损失函数1. L2_loss | nn.MSELoss()公式表示&#xff1a;特点&#xff1a;应用&#xff1a;缺点&#xff1a;主要参数&#xff1a;示例用法&#xff1a;注意事项&#xff1a; 2. L1 Loss | nn.L1Loss数学定义&#xff1a;特点&…...

编程日记 2024/12/2 9:19:46

【ETCD】etcd简单入门之单节点部署etcd

etcd 是一个分布式可靠的键值存储系统&#xff0c;用于分布式系统中最关键的数据&#xff0c;主要特点包括&#xff1a; 简单&#xff1a;具有明确的、面向用户的 API&#xff08;gRPC&#xff09; 安全&#xff1a;自动 TLS 支持&#xff0c;并可选的客户端证书认证 快速&am…...

编程日记 2024/12/2 9:18:45

Cadence基础语法

03-Cadence基础语法 0 Cadence基础语法入门&#xff1a;流程编排语言的新星 Cadence是由Uber开发的一种领域特定语言&#xff08;Domain-Specific Language&#xff0c;DSL&#xff09;&#xff0c;专门用于编写可扩展的长时间运行的业务流程。它是Temporal工作流引擎的核心组…...

编程日记 2024/12/2 9:17:43

GAMES101虚拟机使用教程与探讨

写在前面 环境配置请参考作业0的pdf&#xff0c;本文章主要对于配置好环境后怎么使用以及遇到的问题进行探讨&#xff08;要是有更方便的使用方式欢迎在评论区讨论&#xff09;&#xff0c;自己刚开始用的时候也折腾了好久&#xff0c;希望能为后来学习的小伙伴节约一点工具使…...

编程日记 2024/12/2 9:15:41

王道考研编程题总结

我还在完善中&#xff0c;边复习边完善&#xff08;这个只是根据我自身总结的&#xff09; 一、 线性表 1. 结构体 #define MaxSize 40 typedef struct{ElemType data[MaxSize]&#xff1b;int length; }SqList 2. 编程题 1. 删除最小值 题意 &#xff1a;从顺序表中删除…...

编程日记 2024/12/2 9:14:40

算法2--滑动窗口

滑动窗口 滑动窗口经典例题长度最小的子数组无重复字符的最长子串[最大连续1的个数 III](https://leetcode.cn/problems/max-consecutive-ones-iii/description/)[将 x 减到 0 的最小操作数](https://leetcode.cn/problems/minimum-operations-to-reduce-x-to-zero/description…...

编程日记 2024/12/2 9:12:38

pycharm或conda中配置镜像源

文章目录 1. 为什么要配置镜像源2. pycharm配置2.1使用pip配置国内镜像源2.2 Pycharm中更改镜像源 3.conda配置镜像源3.1 使用conda命令3.2 文件所在位置&#xff08;进行增删&#xff09;3.3 conda常用的几个命令 参考文献 1. 为什么要配置镜像源 由于Python在下载包时&#…...

编程日记 2024/12/2 9:08:34

C#基础之方法

文章目录 1 方法1.1 定义方法1.2 参数传递1.2.1 按值传递参数1.2.2 按引用传递参数1.2.3 按输出传递参数1.2.4 可变参数 params1.2.5 具名参数1.2.6 可选参数 1.3 匿名方法1.3.1 Lambda 表达式1.3.1.1 定义1.3.1.2 常用类型1.3.1.3 Lambda 表达式与 LINQ1.3.1.4 Lambda 表达式的…...

编程日记 2024/12/2 9:07:33

工业安全零事故的智能守护者:一体化AI智能安防平台

前言&#xff1a; 通过AI视觉技术&#xff0c;为船厂提供全面的安全监控解决方案&#xff0c;涵盖交通违规检测、起重机轨道安全、非法入侵检测、盗窃防范、安全规范执行监控等多个方面&#xff0c;能够实现对应负责人反馈机制&#xff0c;并最终实现数据的统计报表。提升船厂…...

编程新知 2026/1/21 9:20:07

Day131 | 灵神 | 回溯算法 | 子集型 子集

Day131 | 灵神 | 回溯算法 | 子集型 子集 78.子集 78. 子集 - 力扣&#xff08;LeetCode&#xff09; 思路&#xff1a; 笔者写过很多次这道题了&#xff0c;不想写题解了&#xff0c;大家看灵神讲解吧 回溯算法套路①子集型回溯【基础算法精讲 14】_哔哩哔哩_bilibili 完…...

编程新知 2026/1/23 12:37:51

【机器视觉】单目测距——运动结构恢复

ps&#xff1a;图是随便找的&#xff0c;为了凑个封面 前言 在前面对光流法进行进一步改进&#xff0c;希望将2D光流推广至3D场景流时&#xff0c;发现2D转3D过程中存在尺度歧义问题&#xff0c;需要补全摄像头拍摄图像中缺失的深度信息&#xff0c;否则解空间不收敛&#xf…...

编程新知 2026/2/8 3:03:01

postgresql|数据库|只读用户的创建和删除(备忘)

CREATE USER read_only WITH PASSWORD 密码 -- 连接到xxx数据库 \c xxx -- 授予对xxx数据库的只读权限 GRANT CONNECT ON DATABASE xxx TO read_only; GRANT USAGE ON SCHEMA public TO read_only; GRANT SELECT ON ALL TABLES IN SCHEMA public TO read_only; GRANT EXECUTE O…...

编程新知 2025/9/18 19:34:22

ffmpeg(四):滤镜命令

FFmpeg 的滤镜命令是用于音视频处理中的强大工具&#xff0c;可以完成剪裁、缩放、加水印、调色、合成、旋转、模糊、叠加字幕等复杂的操作。其核心语法格式一般如下&#xff1a; ffmpeg -i input.mp4 -vf "滤镜参数" output.mp4或者带音频滤镜&#xff1a; ffmpeg…...

编程新知 2026/2/4 23:47:47

鸿蒙中用HarmonyOS SDK应用服务 HarmonyOS5开发一个医院查看报告小程序

一、开发环境准备 ​​工具安装​​&#xff1a; 下载安装DevEco Studio 4.0&#xff08;支持HarmonyOS 5&#xff09;配置HarmonyOS SDK 5.0确保Node.js版本≥14 ​​项目初始化​​&#xff1a; ohpm init harmony/hospital-report-app 二、核心功能模块实现 1. 报告列表…...

编程新知 2026/2/1 4:17:33

稳定币的深度剖析与展望

一、引言 在当今数字化浪潮席卷全球的时代&#xff0c;加密货币作为一种新兴的金融现象&#xff0c;正以前所未有的速度改变着我们对传统货币和金融体系的认知。然而&#xff0c;加密货币市场的高度波动性却成为了其广泛应用和普及的一大障碍。在这样的背景下&#xff0c;稳定…...

编程新知 2025/10/24 12:31:26

Java线上CPU飙高问题排查全指南

一、引言 在Java应用的线上运行环境中&#xff0c;CPU飙高是一个常见且棘手的性能问题。当系统出现CPU飙高时&#xff0c;通常会导致应用响应缓慢&#xff0c;甚至服务不可用&#xff0c;严重影响用户体验和业务运行。因此&#xff0c;掌握一套科学有效的CPU飙高问题排查方法&…...

编程新知 2025/11/2 5:30:15

JVM 内存结构 详解

内存结构 运行时数据区&#xff1a; Java虚拟机在运行Java程序过程中管理的内存区域。 程序计数器&#xff1a; ​ 线程私有&#xff0c;程序控制流的指示器&#xff0c;分支、循环、跳转、异常处理、线程恢复等基础功能都依赖这个计数器完成。 ​ 每个线程都有一个程序计数…...

编程新知 2026/2/6 3:24:58

C#学习第29天:表达式树(Expression Trees)

目录 什么是表达式树&#xff1f; 核心概念 1.表达式树的构建 2. 表达式树与Lambda表达式 3.解析和访问表达式树 4.动态条件查询 表达式树的优势 1.动态构建查询 2.LINQ 提供程序支持&#xff1a; 3.性能优化 4.元数据处理 5.代码转换和重写 适用场景 代码复杂性…...

编程新知 2025/10/20 9:03:01