运行正常的非特权 Docker 容器时,似乎无法应用 SECCOMP_MODE_STRICT,返回EINVAL. SECCOMP_MODE_FILTER正常工作,并使用--privileged或--security-opt 'seccomp=unconfined'允许MODE_STRICT工作。之前有人问过这个问题(Is it possible to use SECCOMP_SET_MODE_STRICT inside an unprivileged docker container?)但没有给出真正的答案。
我看到了一种解决方法,而不是使用 BPF 过滤器来执行相同的功能,但我更愿意使用标志/功能来允许这样做。