Ограничить системные вызовы внутри контейнера Docker

Question

Ограничить системные вызовы внутри контейнера Docker

Как я могу ограничить любой системный вызов внутри контейнера Docker. Если данный процесс совершит системный вызов, он будет заблокирован. Или как я могу использовать seccomp с докером.

6

docker seccomp

Источник

user4350324 19 янв '16 в 07:27

1 ответ

Другие вопросы по тегам docker seccomp

user6309 19 янв '16 в 07:40 2016-01-19 07:40 · Answer 1 · 2016-01-19 07:40

Вы можете увидеть больше в разделе " Профили безопасности Seccomp для Docker" (eature доступно, только если ядро настроено с CONFIG_SECCOMP включен.)

Поддержка Docker контейнеров будет в Docker 1.10: см. Выпуск 17142

позволяет Engine принимать профиль seccomp во время выполнения контейнера.
В будущем мы можем захотеть отправить встроенные профили или запечь профили на изображениях.

PR 17989 был объединен.

Это позволяет передавать профиль seccomp в виде:

{
     "defaultAction": "SCMP_ACT_ALLOW",
     "syscalls": [
         {
             "name": "getcwd",
             "action": "SCMP_ACT_ERRNO"
         }
     ]
 }

Пример (на основе специфичной для Linux конфигурации времени выполнения - seccomp):

$ docker run --rm -it --security-ops seccomp:/path/to/container-profile.json jess/i-am-malicious