Как я могу ограничить системный вызов, сделанный внутри контейнера докеров. Если данный процесс вызывает системный вызов, он будет заблокирован. Или как я могу использовать seccomp с докером.Ограничить системные вызовы внутри контейнера докера
4
A
ответ
3
Вы можете увидеть больше на «Seccomp security profiles for Docker» (далее eature доступна только если ядро скомпилировано с поддержкой CONFIG_SECCOMP
.)
supoprt для докеров контейнеров будет в докер 1.10: см issue 17142
, позволяя двигателю принять профиль seccomp во время работы контейнера.
В будущем мы можем захотеть отправить встроенные профили или испечь профили в изображениях.
PR 17989 был объединен.
Это позволяет пропускание профиля Seccomp в виде:
{
"defaultAction": "SCMP_ACT_ALLOW",
"syscalls": [
{
"name": "getcwd",
"action": "SCMP_ACT_ERRNO"
}
]
}
примера (на основе Linux-specific Runtime Configuration - seccomp):
$ docker run --rm -it --security-ops seccomp:/path/to/container-profile.json jess/i-am-malicious
Смежные вопросы
- 1. Дженкинс внутри контейнера-докера
- 2. debootstrap внутри контейнера докера
- 3. Докер внутри контейнера докера
- 4. I2C внутри контейнера докера
- 5. в команде внутри контейнера докера
- 6. Запуск Xephyr внутри контейнера-докера
- 7. Монтажные группы внутри контейнера докера
- 8. Настройка sendmail внутри контейнера докера
- 9. Подъемные паруса внутри контейнера-докера
- 10. Использование sudo внутри контейнера-докера
- 11. держать охрану внутри контейнера докера
- 12. Запустите HBase внутри контейнера докера
- 13. Запустить докер внутри контейнера докера?
- 14. Настройка контейнера-докера-контейнера
- 15. Ограничить qtip2 внутри контейнера
- 16. Системные вызовы и системные программы
- 17. Остановка контейнера докера изнутри
- 18. GCC Как заблокировать системные вызовы внутри программы?
- 19. Запуск контейнера докера через mitmproxy
- 20. Ping Command внутри контейнера докера не работает
- 21. Как редактировать файлы внутри контейнера докера?
- 22. Как автоматически запускать службы внутри контейнера докера
- 23. Как запустить работу cron внутри контейнера докера?
- 24. Изображение здания докера, внутри альпийского контейнера linux
- 25. Запуск нескольких сервисов внутри одного контейнера-докера
- 26. Открытый файл внутри контейнера докера закрыт
- 27. Есть ли текстовый редактор внутри контейнера докера?
- 28. Получение java.net.SocketException: Недопустимый аргумент: внутри контейнера докера
- 29. Невозможно запустить jenkins auctomatically внутри контейнера докера
- 30. Не могу убить суперсосуд внутри контейнера докера
Спасибо, но когда я попытался эта команда возникла ошибка: «Ответ на ошибку от демона»: Invalid --security-opt: «seccomp: unconfined» И, пожалуйста, скажите мне, как узнать, что мое ядро настроено с помощью CONFIG_SECCOMP, и если не включить его. – Neetesh
Это было бы с докером 1.10-rc1 только – VonC
Но у меня есть докер 1.9 и по-прежнему с той же проблемой. Пожалуйста, помогите – Neetesh