J'ai un programme fonctionnant à l'intérieur d'un conteneur Docker qui charge un fichier .so qui modifie le comportement du programme par le raccordement et la manipulation de la mémoire. Ce comportement est bloqué par SELinux avec le message suivant dans le journal d'audit:
type = AVC msg = audit (1548166862.066: 2419): avc: refusé {execheap} pour pid = 11171 comm = "myProgram" scontext = system_u: system_r: container_t: s0: c426, c629 tcontext = system_u: system_r: container_t: s0: c426, c629 tclass = permissive process = 0
Je suis extrêmement réticent à simplement l'exécuter audit2allow
car je ne veux pas autoriser ce comportement spécifique ailleurs (car cela serait assez risqué).
- Comment puis-je dire à SELinux d'autoriser ce comportement spécifique de la manière la plus sûre possible?
- Puis-je le faire d'une manière qui me permette de générer plus de conteneurs Docker exécutant le même programme à l'avenir?