Seccomp 配置
核心概念
Seccomp = 限制容器可用的系统调用
减少攻击面
使用
# 默认 seccomp 配置
docker run nginx
# 自定义 seccomp 配置
docker run --security-opt seccomp=my-profile.json nginx
# 禁用 seccomp(不推荐)
docker run --security-opt seccomp=unconfined nginx
默认配置
默认禁止约 44 个危险系统调用
包括:
- mount
- reboot
- kexec_load
- ...
小结
| 参数 | 说明 |
|---|---|
--security-opt seccomp= | 自定义配置 |
| 默认配置 | 已禁止危险调用 |
| 安全加固 | 减少攻击面 |