什么是Seccomp?
Secure computing mode (seccomp):Linux kernel的一个特性。在Docker中利用这个特性限制container中可以做哪些操作。
Seccomp在Ubuntu 16.04+上可用
在docker运行的host kernel上执行可以查看kernel是否enable了Seccomp:
$ grep CONFIG_SECCOMP= /boot/config-$(uname -r)
CONFIG_SECCOMP=y
Profile
Profile中配置了拒绝使用哪些系统调用,允许使用哪些:
* SCMP_ACT_ERRNO: default action, Permission Denied
* SCMP_ACT_ALLOW: Fully allowed
* Specific rules for individual system calls: personality, socket …
默认的
seccompprofile禁用了300+个系统调用中的44个。推荐使用默认的profile,如果启动container时通过命令行参数(--security-opt seccomp=/path/to/seccomp/profile.json),可以用自己的profile覆盖系统默认的。使用--security-opt seccomp=unconfined默认的可禁用seccomp profile。
Seccomp是Linux内核的一项特性,用于限制Docker容器内的操作。本文介绍了Seccomp的工作原理,如何检查宿主机内核是否支持Seccomp,并详细解释了Seccomp配置文件的设置方法。
3348

被折叠的 条评论
为什么被折叠?



