我想限制进程(在docker容器中运行)执行某些功能-我有2个选项,或者限制它的功能,或者我使用seccomp配置文件。
我的问题是选择哪种选项,在什么情况下?我是该领域的新手,因此欢迎您提供简单的解释。
答案 0 :(得分:1)
与Linux seccomp相比,capabilities基本上提供了更细粒度的控制。
如果您打算旋转多个容器,并且希望避免重复添加/删除功能,那么seccomp可以是一种更快的解决方案( DRY 原理)。
尽管,如果您只需要(sic)绑定到主机网络,则可以使用NET_ADMIN功能,而无需写下整个seccomp配置文件。