Как я могу ограничить любой системный вызов, сделанный внутри док-контейнера. Если данный процесс делает системный вызов, он будет заблокирован. Или как я могу использовать seccomp с докером.
Ограничить системные вызовы внутри контейнера докеров
Ответы (1)
Подробнее см. в профили безопасности Seccomp для Docker. " (съемка доступна, только если ядро сконфигурировано с включенным CONFIG_SECCOMP
.)
Поддержка контейнеров Docker будет в Docker 1.10: см. issue 17142.
позволяя Engine принимать профиль seccomp во время выполнения контейнера.
В будущем мы можем захотеть поставлять встроенные профили или запекать профили в образах.
PR 17989 объединен.
Это позволяет передавать профиль seccomp в виде:
{
"defaultAction": "SCMP_ACT_ALLOW",
"syscalls": [
{
"name": "getcwd",
"action": "SCMP_ACT_ERRNO"
}
]
}
Пример (на основе конфигурации среды выполнения для Linux — seccomp а>):
$ docker run --rm -it --security-ops seccomp:/path/to/container-profile.json jess/i-am-malicious
person
VonC
schedule
19.01.2016
Спасибо, но когда я попробовал эту команду, появилась ошибка: Ответ ошибки от демона: Invalid --security-opt: seccomp:unconfined И, пожалуйста, скажите мне, как узнать, что мое ядро настроено с включением CONFIG_SECCOMP, и если нет, то как его включить.
- person Neetesh; 19.01.2016
Это было бы только с докером 1.10-rc1
- person VonC; 19.01.2016
Но у меня есть докер 1.9, и у меня все та же проблема. Пожалуйста помоги
- person Neetesh; 19.01.2016
Я хочу сказать: это поддерживается только докером 1.10, а не 1.9. Попробуйте docker 1.10-beta1, который только что вышел.
- person VonC; 19.01.2016