Если вы попытаетесь привязать каталог к контейнеру в Red Hat, у вас могут возникнуть проблемы с Селинукс. Каталог будет нечитаем внутри контейнера. Если вы не добавите г/Z вариант громкости.
Но я не понимаю, почему я не вижу соответствующих ошибок в /var/log/аудит/audit.log. Действительно после:
sudo semodule --disable_dontaudit --build
они начинают регистрироваться:
type=AVC msg=audit(1624806449.148:2225): avc: запрещён {чтение} для pid=34576
comm="ls" name="a" dev="xvda2" ino=8546053
scontext=system_u:system_r:container_t:s0:c48,c319
tcontext=unconfined_u:object_r:user_home_t:s0 tclass=dir разрешающий=0
Но какое правило отключает ведение журнала? Я вижу:
$ поиск --dontaudit | grep container_t
dontaudit container_t container_t: возможность audit_write; [virt_sandbox_use_netlink]: Ложь
dontaudit container_t container_t:capability { fsetid net_admin sys_module };
не проводить аудит container_t container_t:capability2 block_suspend;
dontaudit container_t container_t:dir {add_name write};
Dontaudit container_t container_t: создание файла;
dontaudit container_t container_t:netlink_audit_socket { append bind connect create getattr getopt ioctl lock nlmsg_read nlmsg_relay read setattr setopt shutdown write }; [virt_sandbox_use_netlink]: Ложь
не проводить аудит container_t container_t:udp_socket слушать;
Это один из тех? Или какой-то другой?
Я запускаю экземпляр Red Hat на AWS:
Red Hat Enterprise Linux 8 с высокой доступностью — ami-06ec8443c2a35b0ba
