Profilanwendbarkeit: Stufe 1
In Kubernetes können Sie ein SELinux-Label im
securityContext-Feld Ihres Manifests festlegen. Die angegebenen Labels werden diesen Prozessen zugewiesen.
Wenn Sie Sicherheitsrichtlinien konfiguriert haben, die diese Labels betreffen, erzwingt
der Kernel des Host-Betriebssystems diese Richtlinien.Prüfung
Führen Sie den folgenden Befehl aus und überprüfen Sie den securityContext jedes Pods:
kubectl get pods --all-namespaces
Stellen Sie sicher, dass jeder Pod den SELinux-Kontext gesetzt hat.
Wiederherstellung
Um SELinux-Labels einem Container zuzuweisen, fügen Sie das
seLinuxOptions-Feld im securityContext-Abschnitt Ihres Pod- oder Container-Manifests ein. Das seLinuxOptions-Feld ist ein SELinuxOptions-Objekt. Hier ist ein Beispiel, das ein SELinux-Level anwendet:...
securityContext:
seLinuxOptions:
level: "s0:c123,c456"
Siehe die Kubernetes-Dokumentation für weitere Informationen über die Zuweisung von SELinux-Labels zu einem Container.
 |
HinweisUm SELinux-Labels zuzuweisen, muss das SELinux-Sicherheitsmodul auf dem Host-Betriebssystem
geladen sein.
|