Linux/SELinux/09 Container

SELinux/09 Sichere Linux-Container - Sichere Linux-Container

Linux-Container () sind eine Low-Level-Virtualisierungsfunktion, mit der Sie mehrere Instanzen desselben Dienstes gleichzeitig auf einem System ausführen können

• Im Vergleich zur vollständigen Virtualisierung erfordern Container kein komplett neues System zum Booten, verbrauchen weniger Arbeitsspeicher und nutzen das Basisbetriebssystem im schreibgeschützten Modus
• Mit LXC können Sie beispielsweise mehrere Webserver gleichzeitig ausführen, wobei jeder über eigene Daten verfügt, während die Systemdaten gemeinsam genutzt werden, und sogar als Root-Benutzer ausgeführt werden
• Die Ausführung eines privilegierten Prozesses innerhalb eines Containers könnte jedoch andere Prozesse beeinträchtigen, die außerhalb des Containers oder in anderen Containern laufen
• Sichere Linux-Container nutzen den SELinux-Kontext und verhindern so, dass die darin laufenden Prozesse miteinander oder mit dem Host interagieren

Die Anwendung Docker ist das wichtigste Dienstprogramm zur Verwaltung von Linux-Containern unter Linux

• Alternativ können Sie auch das vom libvirt-Paket bereitgestellte Befehlszeilenprogramm virsh verwenden

Weitere Informationen zu Linux-Containern finden Sie unter Erste Schritte mit Containern

• Podman Container Basis Test
• Podman und SELinux Multi-Category Security (MCS) Verhalten
• Podman Volumes und SELinux MCS Context Probleme
• Shared Volume mit richtigen MCS Context versehen
• Container Domain Transition
• Analyse von erlaubten domain Transition mit sesearch
• Container mit definierten Process Domain anstarten
• Domain Transition unconfined_t vs. spc_t
• Eigene Container Policy mit udica erstellen