Partage de fichier entre Samba, Docker et SELinux
Dans le cadre d’un projet nécessitant qu’un container Docker utilise un répertoire également partagé via Samba, vous pouvez vous retrouver coincé car SELinux interdira l’accès au fichier taggé par Docker à tout processus n’y étant pas autorisé (et donc samba)…
Voici une petite régle pour résoudre ce problème :
# cat >samba_docker_policy.te<<EOF
module samba_docker_policy 1.0;
require {
type smbd_t;
type svirt_sandbox_file_t;
class dir { ioctl read write create getattr setattr lock unlink link rename add_name remove_name reparent search rmdir open };
class lnk_file { ioctl read write create getattr setattr lock append unlink link rename };
class file { ioctl read write create getattr setattr lock append unlink link rename open };
class filesystem { getattr quotaget };
class fifo_file { ioctl read write create getattr setattr lock append unlink link rename open };
class sock_file { ioctl read write create getattr setattr lock append unlink link rename open };
}
#============= svirt_sandbox_file_t ==============
allow smbd_t svirt_sandbox_file_t : dir { ioctl read write create getattr setattr lock unlink link rename add_name remove_name reparent search rmdir open } ;
allow smbd_t svirt_sandbox_file_t : lnk_file { ioctl read write create getattr setattr lock append unlink link rename } ;
allow smbd_t svirt_sandbox_file_t : file { ioctl read write create getattr setattr lock append unlink link rename open } ;
allow smbd_t svirt_sandbox_file_t : filesystem { getattr quotaget } ;
allow smbd_t svirt_sandbox_file_t : fifo_file { ioctl read write create getattr setattr lock append unlink link rename open } ;
allow smbd_t svirt_sandbox_file_t : sock_file { ioctl read write create getattr setattr lock append unlink link rename open } ;
EOF
# checkmodule -M -m -o samba_docker_policy.mod samba_docker_policy.te
# semodule_package -o samba_docker_policy.pp -m samba_docker_policy.mod
# semodule -i samba_docker_policy.ppCette régle est une recopie de « samba_share_t » depuis CentOs7.
Passionné de l’outil informatique dès mon plus jeune âge (j’ai commencé sur un MO5), je mets mes compétences au service de la communauté.
Je « flirte » avec Linux depuis 2005 et j’ai complétement basculé dans le libre depuis plus de 3 ans.
Je « flirte » avec Linux depuis 2005 et j’ai complétement basculé dans le libre depuis plus de 3 ans.
Les derniers articles par Gawindx (tout voir)
- Partage de fichier entre Samba, Docker et SELinux – 29/11/2017
- Mise à jour vers Windows 10 : Pas assez de mémoire vive… – 24/08/2015
- Améliorer les performances RAID – 15/05/2015
