Ubuntu SELinux容器安全实践

在Ubuntu上实践SELinux容器安全，需结合工具配置与策略管理，核心要点如下：

一、基础环境配置

1. 启用SELinux

   • 编辑 /etc/selinux/config，设置 SELINUX=enforcing，并重启生效。
   • 临时切换模式：sudo setenforce 1（强制模式）/ 0（宽容模式）。

2. 安装必要工具

   sudo apt install selinux-basics selinux-policy-default auditd setroubleshoot 

二、容器安全策略配置

1. 为容器分配安全上下文

   • 运行容器时通过 --security-opt 指定类型（如 container_t）：

     docker run --security-opt label=type:container_t -it ubuntu /bin/bash 

   • 查看容器安全上下文：docker exec <容器ID> cat /proc/self/attr/current。

2. 控制文件与目录访问

   • 为容器文件系统添加标签：chcon -R -t container_file_t /path/to/container/files。
   • 挂载宿主机目录时使用 :Z 标签隔离：

     docker run -v /host/data:/data:Z -it ubuntu 

3. 管理布尔值动态调整权限

   • 禁用容器对宿主机cgroup的访问：sudo setsebool -P container_manage_cgroup off。
   • 查看布尔值状态：getsebool -a | grep container。

三、高级安全实践

1. 定制策略模块

   • 通过 audit2allow 生成自定义策略：

     ausearch -m avc -ts recent | audit2allow -M my_container_policy semodule -i my_container_policy.pp ```。 

   • 示例：允许容器读取特定类型文件（如HTTP配置文件）。

2. 结合容器编排工具

   • 在Kubernetes中，通过Pod安全策略（PSP）或NetworkPolicy限制容器间通信。

3. 监控与审计

   • 分析SELinux日志：/var/log/audit/audit.log，重点关注 type=AVC 拒绝记录。
   • 使用工具（如Falco）实时监控容器异常行为。

四、注意事项

• 避免特权容器：特权模式会绕过SELinux限制，仅限测试环境使用。
• 性能权衡：强制模式可能增加少量I/O开销，需在安全性与性能间平衡。
• 兼容性验证：确保容器镜像与应用支持SELinux策略，避免因标签冲突导致服务异常。

参考来源：