Как я могу ограничить системный вызов, сделанный внутри контейнера докеров. Если данный процесс вызывает системный вызов, он будет заблокирован. Или как я могу использовать seccomp с докером.Ограничить системные вызовы внутри контейнера докера
Вы можете увидеть больше на «Seccomp security profiles for Docker» (далее eature доступна только если ядро скомпилировано с поддержкой CONFIG_SECCOMP.)
supoprt для докеров контейнеров будет в докер 1.10: см issue 17142
, позволяя двигателю принять профиль seccomp во время работы контейнера.
В будущем мы можем захотеть отправить встроенные профили или испечь профили в изображениях.
PR 17989 был объединен.
Это позволяет пропускание профиля Seccomp в виде:
{
"defaultAction": "SCMP_ACT_ALLOW",
"syscalls": [
{
"name": "getcwd",
"action": "SCMP_ACT_ERRNO"
}
]
}
примера (на основе Linux-specific Runtime Configuration - seccomp):
$ docker run --rm -it --security-ops seccomp:/path/to/container-profile.json jess/i-am-malicious
Спасибо, но когда я попытался эта команда возникла ошибка: «Ответ на ошибку от демона»: Invalid --security-opt: «seccomp: unconfined» И, пожалуйста, скажите мне, как узнать, что мое ядро настроено с помощью CONFIG_SECCOMP, и если не включить его. – Neetesh
Это было бы с докером 1.10-rc1 только – VonC
Но у меня есть докер 1.9 и по-прежнему с той же проблемой. Пожалуйста, помогите – Neetesh