Chinaunix首页 | 论坛 | 博客
  • 博客访问: 3759823
  • 博文数量: 880
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 6155
  • 用 户 组: 普通用户
  • 注册时间: 2016-11-11 09:12
个人简介

To be a better coder

文章分类

全部博文(880)

文章存档

2022年(5)

2021年(60)

2020年(175)

2019年(207)

2018年(210)

2017年(142)

2016年(81)

分类: LINUX

2019-10-15 16:54:22

什么是Seccomp?

Secure computing mode (seccomp):Linux kernel的一个特性。在Docker中利用这个特性限制container中可以做哪些操作。

Seccomp在Ubuntu 16.04+上可用

在docker运行的host kernel上执行可以查看kernel是否enable了Seccomp:

$ grep CONFIG_SECCOMP= /boot/config-$(uname -r) CONFIG_SECCOMP=y
  • 1
  • 2

Profile

Profile中配置了拒绝使用哪些系统调用,允许使用哪些:
* SCMP_ACT_ERRNO: default action, Permission Denied
* SCMP_ACT_ALLOW: Fully allowed
* Specific rules for individual system calls: personality, socket …

禁用了300+个系统调用中的44个。推荐使用默认的profile,如果启动container时通过命令行参数(--security-opt seccomp=/path/to/seccomp/profile.json),可以用自己的profile覆盖系统默认的。使用--security-opt seccomp=unconfined默认的可禁用seccomp profile。

阅读(1432) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~