У меня есть 2 компьютера, один использует Fedora. Когда я использую эту команду в Fedora:Запретить контейнер докеров для записи файловой системы хоста
docker run -ti -v /tmp/test:/host/tmp/test ubuntu /bin/bash
Я не могу писать/читать файлы с моего хоста. Это поведение, которое я хочу.
Проблема: с ubuntu, когда я использую ту же команду. Контейнер может читать/записывать все файлы на хосте. Я не хочу этого.
Я думаю, что Fedora SELINUX защищает мою систему. Как я могу сделать это с помощью AppArmor?
Я сделал много исследований в Интернете, но я нашел только темы о том, как разрешить запись на файловой системе хоста ... /:
Спасибо заранее.
С наилучшими пожеланиями,
EDIT
компьютеры свободного доступа, так что я не могу контролировать, как пользователь будет выполнять докер прогон. Мне нужна защита от хоста и демон apparmor.
У вас есть профиль AppArmor, который будет запрещать запись в файловой системе? Если это так, вы можете использовать [this:] (https://docs.docker.com/engine/security/apparmor/) 'docker run --rm -it --security-opt apparmor = your_profile hello-world' – jrbeverly
Как в стороне, этот [проект] (https://github.com/jessfraz/bane) может быть вам полезен. В частности [this] (https://github.com/jessfraz/bane/blob/master/docker-nginx-sample) профиль apparmor для отказа в доступе к файлу и специальных командных инструментов – jrbeverly
Я забыл написать его. Но эти компьютеры открыты, поэтому я не могу контролировать, как пользователь выполнит запуск докеров. –