了解しました。
では**第3回:「:z と :Z の違い、chcon の使い方、ラベルの付け替えテクニック」**を丁寧に解説します。
:z・:Zの正体と、SELinuxラベル操作の実践」:z と :Z は、SELinuxのマウント時ラベル制御chcon は SELinux ラベルを一時的に変更するコマンドsemanage fcontext を使う(今回は簡易に留める):z と :Z の違いを図解で整理| オプション | 説明 | 適用対象 | 例 |
|---|---|---|---|
:z |
複数のコンテナと共有可能なラベルを付ける | 複数コンテナで共有するファイル | -v /data:/app/data:z |
:Z |
このコンテナ専用のラベルを付ける(他からアクセスできなくなる) | セキュアな用途(秘匿情報など) | -v /secrets:/app/secrets:Z |
📌 :z → 「どのコンテナでも使えるようにしてね」
📌
:Z→ 「このコンテナ以外には触らせないで」
:z を使う例(もっとも一般的)sudo podman run -v /var/mnt/config:/app/config:z myimage
/var/mnt/config に container_file_t ラベルが付き、SELinuxが「コンテナ用途」と認識する