6

如何限制在 docker 容器内进行的任何系统调用。如果给定进程进行系统调用,它将被阻塞。或者如何将 seccomp 与 docker 一起使用。

4

1 回答 1

5

您可以在“ Docker 的 Seccomp 安全配置文件”中查看更多信息(该功能仅在内核配置为CONFIG_SECCOMP启用时可用。)

docker 容器的支持将在 docker 1.10 中:参见issue 17142

允许引擎在容器运行时接受 seccomp 配置文件。
将来,我们可能希望发布内置配置文件,或在图像中烘焙配置文件。

PR 17989已合并。

它允许以以下形式传递 seccomp 配置文件:

{
     "defaultAction": "SCMP_ACT_ALLOW",
     "syscalls": [
         {
             "name": "getcwd",
             "action": "SCMP_ACT_ERRNO"
         }
     ]
 }

示例(基于Linux 特定的运行时配置 - seccomp):

$ docker run --rm -it --security-ops seccomp:/path/to/container-profile.json jess/i-am-malicious
于 2016-01-19T07:40:00.040 回答