Tag: seccomp

在容器中运行Chromium：Error = seccomp-bpf在系统调用0241中失败: 我试图在docker集装箱内运行Chromium。当我尝试使用以下标志运行它时，输出如下： –type =渲染器 –window位= 100100 –window尺寸= 800800 所以这是我使用–type=renderer时候得到的结果。在互联网上找不到与此错误相关的任何内容。这是什么输出？我应该从哪里开始寻求解决这个问题？或者您可能以前遇到过这个问题，并有解决办法。当我不使用任何国旗，除了2）和3）我得到的是一个空的，完全白色的窗口。

Docker seccomp不在Kali上工作: 我正在调查使用Docker的内核安全性。我正在testingseccomp，它在Debian和Ubuntu上运行得非常好，但是它不适用于Kali Linux。例：我用这个内容创build了一个名为sec.json的简单json文件： { "defaultAction": "SCMP_ACT_ALLOW", "syscalls": [ { "name": "mkdir", "action": "SCMP_ACT_ERRNO" } ] } 它声称使用seccomp运行一个容器，这个文件将产生你不能在容器中使用mkdir命令。这是docker运行命令： docker run –rm -ti –security-opt seccomp=/path/to/sec.json ubuntu:xenial sh 正如我所说的，它在Debian和Ubuntu上运行得非常好，但在Kali Linux上，我得到了这个错误： docker: Error response from daemon: linux seccomp: seccomp profiles are not supported on this daemon, you cannot specify a custom seccomp profile. 我的docker引擎版本是17.05.0-ce ，我的内核是4.9.0-kali3-amd64 #1 […]

如何在Docker中实现seccomp？: 我遇到了大多数Docker安全性开发者可能遇到的问题。我还没有能够通过security_opt标签在Docker-compose中实现seccomp，因为在docker撰写方面，我不能读懂json文件。另一方面，有一个简单的方法通过命令行在容器中实现seccomp： docker run –rm -it –security-opt seccomp = / path / to / seccomp / profile.json <container> 在我目前的项目中，我需要实现seccomp，但在docker守护进程或docker撰写级别。请任何人有任何线索如何做这将是非常有益的。从已经非常感谢你。

将docker-compose中的secomp设置为unconfined: 我需要能够分叉进程。据我了解，我需要设置安全选项。我已经尝试用docker命令做这个，它工作正常。但是，当我在docker组成文件中这样做，它似乎什么都不做，也许我不使用撰写正确的。 docker docker run –security-opt=seccomp:unconfined <id> dlv debug –listen=:2345 –headless –log ./cmd/main.go 泊坞窗，撰写 build立泊坞窗，compose.yml networks: backend: services: example: build: . security_opt: – seccomp:unconfined networks: – backend ports: – "5002:5002" Dockerfile FROM golang:1.8 RUN go get -u github.com/derekparker/delve/cmd/dlv RUN dlv debug –listen=:2345 –headless –log ./cmd/main.go 命令 docker-compose -f docker-compose.yml up –build –abort-on-container-exit […]

在Docker容器中打开DGRAM套接字失败（权限被拒绝）: 我正在运行一个应用程序，它build立并发送ICMP ECHO请求到几个不同的IP地址。该应用程序是用Crystal编写的。当试图从晶体泊坞窗容器内打开一个套接字时，Crystal引发一个exception：权限被拒绝。从容器内，我没有问题运行ping 8.8.8.8 。在macos上运行应用程序，我没有问题。阅读apparmor和seccomp上的https://docs.docker.com/engine/security/apparmor/和https://docs.docker.com/engine/security/seccomp/页面我确定find了解决scheme，但问题仍然没有解决，即使作为docker run –rm –security-opt seccomp=unconfined –security-opt apparmor=unconfined socket_permission 更新/编辑：挖掘到capabilities(7) ，我添加了以下行到我的dockerfile： RUN setcap cap_net_raw+ep bin/ping试图让套接字被打开，但没有改变。谢谢！相关的水晶sockets代码，完整的工作代码示例如下： # send request address = Socket::IPAddress.new host, 0 socket = IPSocket.new Socket::Family::INET, Socket::Type::DGRAM, Socket::Protocol::ICMP socket.send slice, to: address Dockerfile： FROM crystallang/crystal:0.23.1 WORKDIR /opt COPY src/ping.cr src/ RUN mkdir bin RUN […]