拒绝docker容器来写主机的文件系统
我有2台电脑,一个是使用的Fedora。 当我在Fedora上使用这个命令时:
docker run -ti -v /tmp/test:/host/tmp/test ubuntu /bin/bash
我无法从主机写入/读取文件。 这是我想要的行为 。
问题是:用ubuntu的时候我用的是相同的命令。 容器可以读/写主机上的每个文件。 我不想要这个
我想在Fedora上SELINUX正在保护我的系统。 我怎样才能用AppArmor做到这一点?
我在互联网上做了很多研究,但是我只find关于如何允许在主机文件系统上写入的主题… /:
提前致谢。
最好的祝福,
编辑
计算机是免费的,所以我无法控制用户如何执行docker运行。 我需要一个来自主机和守护进程的保护。
一种select是将绑定挂载标记为只读:
docker run -ti -v /tmp/test:/host/tmp/test:ro ubuntu /bin/bash