selinux开启环境下，isula-build构建失败

【标题描述】
selinux开启环境下，isula-build 构建镜像失败
且构建时文件相关扩展属性仅在构建时生效，生成的镜像为默认的selinux属性，是否合理？

【问题复现步骤】
修改selinux为enable
```
[root@iZbp127ckxl0m5wxvebokkZ db]# vim /etc/selinux/config
SELINUX=enable
```

构建镜像使用copy命令
```
[root@iZbp127ckxl0m5wxvebokkZ ib]# cat dockerfile
FROM docker.io/library/alpine:latest
COPY a.txt /
[root@iZbp127ckxl0m5wxvebokkZ ib]# cat a.txt
aaa

[root@iZbp127ckxl0m5wxvebokkZ ib]# isula-build ctr-img build -f dockerfile  -t test:al
STEP  1: FROM docker.io/library/alpine:latest
STEP  2: COPY a.txt /
error runBuild: rpc error: code = Unknown desc = building image for stage[0] failed: handle command COPY failed: lsetxattr /var/lib/isula-build/storage/overlay/fb75f8972ee37d3f333bf984135842ad5f2a09a0ab1f441275999579c7fd7dd7/merged/a.txt: operation not supported

[root@iZbp127ckxl0m5wxvebokkZ ib]# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   permissive
Mode from config file:          error (Success)
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      33
[root@iZbp127ckxl0m5wxvebokkZ ib]#
```
**切换到 0.9.4版本再构建，可以正常构建**，后续再查看具体的原因，**疑为overlayfs权限参数设置问题。**
出现概率: 必现

【预期结果】
可以正常构建，并且selinux合理设置

【实际结果】
构建失败，在mountpoint 为 `/var/lib/isula-build/storage/overlay/c77a038da5875b5af79f84dfd029fac1a80af87e23c455b95048b54569c4b69f/merged`的overlay merge目录权限不支持（手动使用setfattr同样不可以）。（0.9.4版本可以正常构建和setfattr）
util/util.go:278
```
func copyXattrByKey(src, dest, key string) error {
	attrValue, err := system.Lgetxattr(src, key)
	if err != nil && err != unix.EOPNOTSUPP {
		return err
	}

if attrValue == nil {
		return nil
	}

return system.Lsetxattr(dest, key, attrValue, 0)
}
```

【原因分析】
经过选取不同版本的storage依赖库，确定导致该issue出现的提交为：[overlay: add support for squash_to_?id](https://github.com/containers/storage/commit/11f2c322b65d442aa0eaead53e1e5d15d730c8bb)，最终问题为升级storage库而升级的go-selinux依赖，而导致label_selinux被正常编译不使用label_stub.go空函数填充。这时我们再尝试修改overlayfs mountpoint merge路径的时候，已经恢复正常的selinux会加入相应的权限label `context="system_u:object_r:container_file_t:s0:c479,c818"`，这时就无法使用Lsetxattr系统调用修改merge路径中的文件扩展属性，会导致Operation not supported错误。
v0.9.4版本 isula-build 依赖的storage库依赖v1.6.0版本的selinux，其中:
* [label_selinux.go](https://github.com/opencontainers/selinux/blob/v1.6.0/go-selinux/label/label_selinux.go) 使用条件编译`// +build selinux,linux` **不被编译，怀疑selinux标签不生效始终为false，导致下方stub文件被编译**
* [label_stub.go](https://github.com/opencontainers/selinux/blob/v1.6.0/go-selinux/label/label_stub.go) 使用条件编译 `// +build !selinux !linux`

当前版本
* [label_selinux.go](https://github.com/opencontainers/selinux/blob/main/go-selinux/label/label_linux.go) 不使用条件编译
* [label_stub.go](https://github.com/opencontainers/selinux/blob/main/go-selinux/label/label_stub.go) 使用条件编译 `// +build !linux` **不被编译**

【解决方案】
**失效的方案，还是要修改merge路径，并赋予权限**
> 不修改merge路径，临时修改diff路径，如有使用上述selinux的context的label，则需要做进一步的分析.
    ```使用diff路径
    	upperDir := strings.TrimSuffix(finalDest, "merged/")
    	diffDir := fmt.Sprintf("%sdiff/", upperDir)
    ```
需要进一步确认，ima属性是否能够最终带入到镜像中。

【可能以后会遇到的问题】
[Gracefully handle xattr not supported](https://github.com/containers/buildah/issues/2774)

openEuler/isula-build

内容风险标识

评论 (2)

openEuler/isula-build .gitee-modal { width: 500px !important; }

内容风险标识