Eu tenho um programa em execução dentro de um contêiner do Docker que carrega um arquivo .so que altera o comportamento do programa por meio de gancho e manipulação de memória. Esse comportamento é bloqueado pelo SELinux com a seguinte mensagem no log de auditoria:
tipo = AVC msg = auditoria (1548166862.066: 2419): avc: negado {execheap} para pid = 11171 comm = "meuPrograma" scontext = system_u: system_r: container_t: s0: c426, c629 tcontext = system_u: system_r: system_r: container_t: s0: c426, c629 tclass = processo permissivo = 0
Eu sou extremamente hesitante em apenas fazer isso, audit2allow
pois não quero permitir esse comportamento específico em nenhum outro lugar (pois isso seria bastante arriscado).
- Como posso dizer ao SELinux para permitir esse comportamento específico da maneira mais segura possível?
- Posso fazer isso de uma maneira que permita gerar mais contêineres Docker executando o mesmo programa no futuro?