如何限制在docker容器内进行的任何系统调用.如果给定进程进行系统调用,它将被阻止.或者我如何将seccomp与docker一起使用.
您可以在“ Docker的Seccomp安全配置文件 ”中看到更多信息(只有在CONFIG_SECCOMP启用了内核的情况下,该特性才可用。)
docker容器的支持文件将在docker 1.10中:请参阅问题17142
允许引擎在容器运行时接受seccomp配置文件。
将来,我们可能希望提供内置配置文件,或在图像中烘烤配置文件。
PR 17989已合并。
它允许以以下形式传递seccomp配置文件:
{
"defaultAction": "SCMP_ACT_ALLOW",
"syscalls": [
{
"name": "getcwd",
"action": "SCMP_ACT_ERRNO"
}
]
}
示例(基于Linux特定的运行时配置-seccomp):
$ docker run --rm -it --security-ops seccomp:/path/to/container-profile.json jess/i-am-malicious
| 归档时间: |
|
| 查看次数: |
1701 次 |
| 最近记录: |