如何限制在docker容器内进行的任何系统调用。如果给定进程进行系统调用,它将被阻止。或者我如何将seccomp与docker一起使用。
答案 0 :(得分:5)
您可以在“Seccomp security profiles for Docker”中看到更多内容(仅当内核配置为启用CONFIG_SECCOMP时,才能使用该功能。)
docker容器的supoprt将在docker 1.10中:见issue 17142
允许引擎在容器运行时接受seccomp配置文件 将来,我们可能希望在图像中发布内置配置文件或烘焙配置文件。
PR 17989已合并。
它允许以以下形式传递seccomp配置文件:
{
"defaultAction": "SCMP_ACT_ALLOW",
"syscalls": [
{
"name": "getcwd",
"action": "SCMP_ACT_ERRNO"
}
]
}
$ docker run --rm -it --security-ops seccomp:/path/to/container-profile.json jess/i-am-malicious