コンテナのセキュリティ保護、SELinuxはどう役立つか前回までに、SELinuxの主な機能として「TE(Type Enforcement)」を紹介しました。TEでは、プロセスに「ドメイン」を、ファイルに「タイプ」を付与します。セキュリティポリシーには、「ドメインがどんなタイプにどんなアクセスができるのか?」というルールが記載されています。このルールに記載されていないアクセスはすべて拒否されます。これにより、プロセスに最小限の権限を割り当てられるというものでした。 コンテナ環境で効果を実感する これまで、ドメインとタイプを確認し(psとlsのZオプション)、TEが動作していることは確認できましたが、これだけではSELinuxの効果の実感に欠けるかもしれません。もう少し効果が分かる例としてSELinux上でのコンテナの動作を確認してみます。 準備としてCent OS 7に、代表的なコンテナ基盤であるDockerをインストールし、起動します。
