Наш коллега, Dan Walsh, продолжает рассказывать о неочевидных вещах, связанных с SELinux.

Нужно заметить, что SELinux разрабатывали натовские военные и североамериканская гэбня (как обычно), поэтому в проекте были воплощены именно их представления о безопасности, разделении ролей, и изоляции. Собственно, поэтому SELinux работает, в отличие от ряда аналогов, поддерживая изоляцию между приложениями в соответствии с указанными правилами. А вот в правилах-то и вся соль!

В общем, Dan за последнее время написал серию постов, посвященных SELinux и контейнерам, из которых как минимум два особенно примечательны:

• Для чего SELinux блокирует доступ к сокету Docker?
• Как позволить Docker-контейнерам обмениваться сокетами без отключения SELinux (Dan добавил необходимый параметр в Docker).

Из смешного, Dan рассказал, как он написал скрипт в пять строчек на Bash и не мог заставить его работать. Бедолага потерял примерно час рабочего времени, прежде чем понял, что Bash-скрипт с подстановкой команд может выполняться сложнее, чем построчно, сверху вниз.

Кстати, в прошлом году отмечали 15-летие SELinux, так что в этом году отметим совершеннолетие!