私は2台のコンピュータを持ち、1台はfedoraを使用しています。このコマンドをfedoraで使用する場合:ホストのファイルシステムを書き込むためにドッカーのコンテナを拒否する
docker run -ti -v /tmp/test:/host/tmp/test ubuntu /bin/bash
ホストからファイルを読み書きできません。 これは私が望むふるまいですです。
問題は次のとおりです。同じコマンドを使用するとubuntuで。コンテナは、ホスト上のすべてのファイルを読み書きできます。私はこれを望んでいない。
私はFedoraでSELINUXが私のシステムを保護していると思います。 AppArmorでどうすればいいですか?
私は、インターネット上の多くの研究をしましたが、私は唯一のホストのファイルシステムへの書き込みを許可する方法についてのトピックを見つけました... /:事前に
感謝。
よろしく、
EDIT
コンピュータは、私は、ユーザーがドッキングウィンドウの実行を実行する方法を制御することはできませんので、自由にアクセスされています。私はホストとapparmorデーモンからの保護が必要です。
あなたがシステムをファイルに書き込みを拒否しますAppArmorのプロファイルを持っていますか?もしそうなら、[this:](https://docs.docker.com/engine/security/apparmor/) 'docker run --rm -it --security-opt apparmor = your_profile hello-world'を使用することができます – jrbeverly
他にも、この[プロジェクト](https://github.com/jessfraz/bane)が役に立つかもしれません。具体的には、ファイルアクセスと特定のコマンドツールを拒否するための[this](https://github.com/jessfraz/bane/blob/master/docker-nginx-sample)apparmorプロファイル – jrbeverly
私はそれを忘れてしまいました。しかし、これらのコンピュータはオープンなので、ユーザーがドッカーを実行する方法を制御することはできません –