Моя система:
Это просто нормально.
Но если я также активирую переназначение пространства имен (по умолчанию, используя пользователя dockremap), я не могу запустить или запустить ни один из моих контейнеров.
# docker run hello-world
nsenter: failed to unshare namespaces: Operation not permitted
container_linux.go:262: starting container process caused "process_linux.go:247: running exec setns process for init caused \"exit status 34\""
docker: Error response from daemon: oci runtime error: container_linux.go:262: starting container process caused "process_linux.go:247: running exec setns process for init caused \"exit status 34\"".
Если я отключу принудительное применение SELinux (или пространства имен), все снова будет в порядке.
Использование audit2allow не помогло.
Есть ли у кого-нибудь для меня несколько советов и приемов, чтобы заставить все это работать?
Трудно устранить неполадки в Debian, но это определенно работает в Fedora / RHEL / CentOS. Политики SELinux предназначены для работы с контейнерами и сопоставлением. Я только что сделал это сегодня с контейнерами podman без корней.