Domanda
Per favore, suggerisci come capire che sesearch dice.
$ sesearch -s svirt_lxc_net_t -t container_var_run_t -SA
Found 8 semantic av rules:
allow svirt_sandbox_domain file_type : dir { getattr search open } ;
allow svirt_sandbox_domain pidfile : sock_file { write getattr append open } ;
allow svirt_sandbox_domain file_type : filesystem getattr ;
allow nsswitch_domain pidfile : dir { getattr search open } ;
allow domain pidfile : sock_file { write getattr append open } ;
allow svirt_sandbox_domain file_type : file entrypoint ;
allow nsswitch_domain pidfile : dir { getattr search open } ;
allow nsswitch_domain pidfile : dir { getattr search open } ;
Sfondo
Come per Come trovare un tipo SELinux appropriato per impedire "il permesso negato" , cercando di scoprire la causa di "permesso negato" a causa di SELinux.
Il processo che tenta di accedere all'oggetto /var/run/docker.sock ha un'etichetta svirt_lxc_net_t e il file ha l'etichetta container_var_run_t. Quindi, cercando di capire cosa dice sesearch sulla relazione tra svirt_lxc_net_t e container_var_run_t.
Il link mostra suggerimenti per la risoluzione dei problemi e utilizza sesearch per mostrare che la fonte ha poche autorizzazioni, ma non so come interpretare.