fedora – 通过Docker容器的卷管理在主机上创建的文件的selinux上下文

我在Fedora 20(docker 1.0.0)上浏览了fig python / django教程,但它失败了&当django-admin.py尝试创建项目文件时,SELinux中的AVC拒绝被触发.

我查看了该策略,我可以看到在我的代码目录上设置docker_var_lib_t上下文将允许docker在那里写(虽然我刚刚在策略中发现了docker_share_t,看起来更适合权限明智 – 没有chr / blk设备上下文).

代码目录位置是不可预测的,因此设置系统范围的策略(通过semanage fcontext)似乎不是最好的前进方式;我需要介绍一些惯例.

有没有办法在从主机挂载的卷上自动设置此上下文?

最佳答案
您可以在目录上设置以下上下文

chcon -Rt svirt_sandbox_file_t $HOME / code / export

然后运行你的docker命令

docker run –rm -it -v $HOME / code / export:/ exported:ro image / foo / bar

转载注明原文:fedora – 通过Docker容器的卷管理在主机上创建的文件的selinux上下文 - 代码日志