Ubuntu SELinux与Docker兼容性

Ubuntu 上 SELinux 与 Docker 的兼容性与实践

一 兼容性与默认情况

• Ubuntu 默认不启用 SELinux，常见安全模块是 AppArmor；而 Docker 的 SELinux 支持在主流发行版上通常随包提供。因此，在 Ubuntu 上直接使用 Docker 时，一般并不会触发 SELinux 策略限制。若你手动在 Ubuntu 上启用 SELinux，需注意与 Docker 的集成与内核存储驱动配合，否则容易出现权限或启动失败等问题。

二 在 Ubuntu 启用 SELinux 的可行路径

• 安装与启用
  • 安装工具与策略包：sudo apt-get update && sudo apt-get install -y selinux-basics selinux-policy-default
  • 编辑配置文件：sudo nano /etc/selinux/config，将 SELINUX=disabled 改为 SELINUX=permissive（首次建议宽容模式验证）并重启。
  • 验证状态：getenforce（应返回 Permissive 或 Enforcing）。
• Docker 配置与存储驱动
  • 现代 Docker 通常无需在 daemon.json 中显式设置 "selinux-enabled": true；该选项多见于 RHEL/CentOS 的 Docker 包。若启用 SELinux，请确保 Docker 使用与 SELinux 兼容的存储驱动（如 overlay2），并在需要时调整挂载选项。
  • 注意内核兼容：在部分 较老内核 上，SELinux 与 overlay2 组合可能不被支持，Docker 启动会报错（如 “SELinux is not supported with the overlay2 graph driver on this kernel”）。此时可临时改用其他驱动（如 devicemapper）或升级内核，再验证 SELinux 与 Docker 的协作。

三 常见故障与修复要点

• 挂载卷权限被拒（AVC denied）
  • 现象：容器对挂载的主机目录无权限，日志出现 “SELinux: avc denied”。
  • 快速修复：在 -v 挂载时追加 :z（共享标签）或 :Z（私有标签），例如：docker run -v /host/data:/container/data:z nginx。这会让 Docker 在挂载时自动为目录设置合适的 SELinux 类型，避免主体无权访问客体。
• 快速排查路径
  • 查看 Docker 服务日志：sudo journalctl -u docker -n 200 --no-pager
  • 检查 SELinux 拒绝记录：sudo ausearch -m avc -ts recent，必要时用 audit2allow 生成自定义策略模块，避免粗暴禁用 SELinux。

四 安全与运维建议

• 优先策略：尽量保持 SELinux 处于 Enforcing，通过挂载标签（:z/:Z）与最小权限原则解决访问问题，而不是长期关闭 SELinux。
• 慎用特权容器：使用 --privileged 会绕过所有 SELinux 限制，应仅用于测试或确有必要的场景，生产环境应避免。
• 与 AppArmor 共存：Ubuntu 默认启用 AppArmor，若同时启用 SELinux，需分别排查两者的拦截日志（SELinux 看 AVC，AppArmor 看 DENIED），避免误判根因。