Docker seccomp不在Kali上工作

我正在调查使用Docker的内核安全性。 我正在testingseccomp,它在Debian和Ubuntu上运行得非常好,但是它不适用于Kali Linux。

例:

我用这个内容创build了一个名为sec.json的简单json文件: 

 { "defaultAction": "SCMP_ACT_ALLOW", "syscalls": [ { "name": "mkdir", "action": "SCMP_ACT_ERRNO" } ] }

它声称使用seccomp运行一个容器,这个文件将产生你不能在容器中使用mkdir命令。 这是docker运行命令: 

 docker run --rm -ti --security-opt seccomp=/path/to/sec.json ubuntu:xenial sh

正如我所说的,它在Debian和Ubuntu上运行得非常好,但在Kali Linux上,我得到了这个错误: 

 docker: Error response from daemon: linux seccomp: seccomp profiles are not supported on this daemon, you cannot specify a custom seccomp profile.

我的docker引擎版本是17.05.0-ce ,我的内核是4.9.0-kali3-amd64 #1 SMP Debian 4.9.18-1kali1 (2017-04-04) x86_64 GNU/Linux 。 我search了这个,很奇怪。 假如你能检查这个,支持seccomp: 

 cat /boot/config-`uname -r` | grep CONFIG_SECCOMP=

我得到了一个结果: 

 CONFIG_SECCOMP=y

所以支持它。 我错过了什么或者关于这个的解释是不是在Kali上工作? 谢谢。

好的,我发现这个职位。 我会尽力回答自己:

https://github.com/moby/moby/issues/26497

很相似。 我检查了我的docker info输出,并在Ubuntu和Debian我有Security Options: seccomp和我没有任何关于卡利。

可能的解释是包含所需库的libseccomp2包太旧了。 也许如果卡莉的工作人员更新图书馆,可以得到支持。

    Interesting Posts

    Docker加载内核模块

    Docker:错误创buildaufs挂载到/ var / lib / docker / aufs / mnt / 15396ee0f38d161382f104e11c94b6ca0efafe10f9952e1dfba4f548009fbe59-init:无效参数

    飞溅停止与错误“unregister_netdevice:等待lo成为自由”

    从mac os sierra主机加载内核模块到docker容器

    在Docker容器中安装新的gentoo内核

    Alpine Linux是否是Unikernel的实现?

    Docker之前为什么没有容器受欢迎?

    为什么在容器内部调用需要更多的执行时间?

    自定义boot2docker.iso以在容器上使用无线设备(Docker-toolbox)

    Docker – 命名空间查询