限制Docker容器内的系统调用
如何限制在docker集装箱内进行的任何系统调用。 如果给定的进程进行系统调用,它将被阻止。 或者我怎样才能使用docker的seccomp。
您可以在“ Docker的Seccomp安全configuration文件 ”中看到更多内容(只有内核configuration了CONFIG_SECCOMP
才能使用。
docker集装箱的supoprt将在docker1.10:见问题17142
允许引擎在容器运行时接受seccompconfiguration文件。
在将来,我们可能想要发布内置configuration文件,或在图像中烘焙configuration文件。
公元17989已合并。
它允许以下列forms传递seccompconfiguration文件:
{ "defaultAction": "SCMP_ACT_ALLOW", "syscalls": [ { "name": "getcwd", "action": "SCMP_ACT_ERRNO" } ] }
示例(基于特定于Linux的运行时configuration – seccomp ):
$ docker run --rm -it --security-ops seccomp:/path/to/container-profile.json jess/i-am-malicious
- 通过Node.js APIconfigurationCouchbase连接端口
- 我可以在我的Synology NAS中部署我的Java Spring-Boot应用程序吗?
- Gitlab CI中cache / artifacts的正确用法是什么?
- 无效的卷规格“:/ io”:无效的卷规格:':/ io'
- Docker组合“缩放”命令不是跨多台机器进行扩展
- Docker \提交一个包含数据的容器
- Golang Docker API在点击ImageBuild时报告无效的参数
- 在linux中读取sym链接标准输出(使用docker)
- 无法使用Docker Stack和Official WordPress Docker镜像访问正在运行的服务