在容器绑定挂载上设置 SELinux z/Z 选项的主机范围后果

你的理解是正确的。来自 Docker 手册（与 podman 基本相同）：

Configure the selinux label

If you use selinux you can add the z or Z options to modify the selinux label of the host file or directory being mounted into the container. This affects the file or directory on the host machine itself and can have consequences outside of the scope of Docker.

    The z option indicates that the bind mount content is shared among multiple containers.
    The Z option indicates that the bind mount content is private and unshared.

Use extreme caution with these options. Bind-mounting a system directory such as /home or /usr with the Z option renders your host machine inoperable and you may need to relabel the host machine files by hand.

这意味着如果您将某个主机目录绑定挂载到 Docker，SELinux 上下文标签将被更改以确保该特定目录只能从该特定容器 ( :Z) 或所有容器 ( :z) 访问。

因为这些操作是在主机文件系统本身上执行的，所以它们会在容器虚拟化范围之外产生影响。您的示例很好：当绑定安装主机 webroot 时，标准httpd_sys_(rw_)content_t将被替换。然后主机上的 Apache 将拒绝为该 webroot 提供服务。

幸运的是，使用自定义策略模块可以轻松解决这个问题。

使用:zor:Z并启动 Docker/podman。确保它有效。现在将 SELinux 设置为允许使用setenforce 0. 然后启动 Apache。它会工作（因为 SELinux 是允许的），但 AVC 拒绝将记录在审计日志中。

# use the output of ausearch to create a policy that allows this. This is the dry-run version
ausearch -m avc -ts recent | audit2allow -a
# If you're satisfied that this is indeed a module you want to add to the SELinux system,
# pick a policyname (use a custom prefix like mnj-) and run
ausearch -m avc -ts recent | audit2allow -a -M mnj-[policyname]

这会在/etc/selinux/targeted/modules/active/modules.

要安装和激活此模块，请运行：

semodule -i mnj-[policyname].pp

现在重新启用 SELinux setenforce 1：。Apache 现在将能够再次为 webroot 提供服务。