Docker Seccomp特性学习笔记

最新推荐文章于 2024-08-06 04:05:55 发布
最新推荐文章于 2024-08-06 04:05:55 发布
阅读量3.7k 收藏 4
点赞数 1

什么是Seccomp?

Secure computing mode (seccomp):Linux kernel的一个特性。在Docker中利用这个特性限制container中可以做哪些操作。

Seccomp在Ubuntu 16.04+上可用

在docker运行的host kernel上执行可以查看kernel是否enable了Seccomp:

$ grep CONFIG_SECCOMP= /boot/config-$(uname -r)
CONFIG_SECCOMP=y

Profile

Profile中配置了拒绝使用哪些系统调用,允许使用哪些:
* SCMP_ACT_ERRNO: default action, Permission Denied
* SCMP_ACT_ALLOW: Fully allowed
* Specific rules for individual system calls: personality, socket

默认的seccomp profile禁用了300+个系统调用中的44个。推荐使用默认的profile,如果启动container时通过命令行参数(--security-opt seccomp=/path/to/seccomp/profile.json),可以用自己的profile覆盖系统默认的。使用--security-opt seccomp=unconfined默认的可禁用seccomp profile。

Reference

https://docs.docker.com/engine/security/seccomp/

JackyDg
关注
Dockerseccomp 之间的联系
k8s 生态
09-22 969
本篇是第六部分“安全篇”的最后一篇,前面三篇,我为你介绍了镜像及容器安全相关的内容以及 Linux 的 LSM 如何为容器安全保驾护航。本篇,我们将重点放在 Linux 内核中 seccomp 与 Docker 之间的联系。 前面两篇,我分别为你介绍了如何使用 Linux capabilities 和 Linux LSM 模块为 Docker 容器提供安全的能力。本篇,我们将继续容器安全的...
Docker 守护进程配置之应用程序守护进程范围的自定义 seccomp 配置文件
chunqizhi
12-16 683
描述 如果需要,你可以选择在守护进程级别自定义 seccomp 配置文件,并覆盖 Docker 的默认 seccomp 配置文件。 安全出发点 大量系统调用暴露于每个用户级进程,其中许多系统调用在整个生命周期中都未被使用。大多数应用程序不需要所有的系统调用,因此可以通过减 少可用的系统调用来增加安全性。可自定义 seccomp 配置文件,而不是使用 Docker 的默认 seccomp 配置文件...
docker run:–security-opt seccomp=unconfined选项解析 (安全计算模式Secure Computing Mode,实现系统调用过滤,禁用或允许某些系统调用)
Dontla的博客
09-18 4891
Seccomp,即安全计算模式,是 Linux 内核的一部分,用于限制进程可以使用的系统调用2。通过禁止或限制对某些系统调用的访问,Seccomp 可以有效减少攻击者能够利用的攻击面。Docker 在默认情况下启用了 Seccomp,并提供了一个默认的配置文件,该文件白名单了大约300个系统调用,其他的则被禁止。这意味着在 Docker 容器中运行的进程只能访问这些已经过滤的系统调用。总的来说,Docker 的选项是一个强大的工具,可以提供更大的灵活性。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 1063
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
pwn学习笔记(8)--初识Pwn沙箱
qq_66013948的博客
08-06 960
​ 沙箱机制,英文sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。​ 安全计算模式seccomp(Secure Computing Mode)在Linux2.6.10之后引入到kernel的特性,可用其实现一个沙箱环境。使用seccomp模式可以定义系统调用白名单和黑名单。seccomp机制用于限制应用程序可以使用的系统调用,增加系统的安全性。​ 在ctf中主要通过两种方
docker docker-compose学习笔记
12-16
docker学习笔记docker安装及使用,各个命令说明以及使用事例, docker-compose自动配置服务,完成项目发布部署war项目,搭建docker私服 redis svn mysql等服务,大部分来自网络后整理
狂神Docker学习笔记.pdf
03-10
学习docker时看到的学习笔记
docker学习笔记.md
07-02
docker学习笔记,docker学习笔记,docker学习笔记,docker学习笔记,docker学习笔记,docker学习笔记,docker学习笔记,docker学习笔记,docker学习笔记,docker学习笔记,docker学习笔记,docker学习笔记,docker学习笔记,...
Docker学习笔记.zip
07-05
Docker学习笔记压缩包
docker学习笔记.pdf
10-15
docker学习笔记学习docker时做的学习笔记,有例子
Docker 生产环境之安全性 - 适用于 DockerSeccomp 安全配置文件
kikajack的博客
03-17 5676
原文地址安全计算模式(secure computing mode,seccomp)是 Linux 内核功能。可以使用它来限制容器内可用的操作。seccomp() 系统调用在调用进程的 seccomp 状态下运行。可以使用此功能来限制你的应用程序的访问权限。只有在使用 seccomp 构建 Docker 并且内核配置了 CONFIG_SECCOMP 的情况下,此功能才可用。要检查你的内核是否支持 se
Kubernetes 容器安全 Seccomp 限制容器进程系统调用
小楼一夜听春雨,深巷明朝卖杏花
07-05 4089
Seccomp(Secure computing mode) 是一个 Linux 内核安全模块,可用于应用进程允许使用的系统调用。 容器实际上是宿主机上运行的一个进程,共享宿主机内核,如果所有容器都具有任何系统调用的能力,那么容器如果被入侵,就很轻松绕过容器隔离更改宿主机系统权限或者进入宿主机。 这就可以使用Seccomp机制限制容器系统调用,有效减少攻击面。 Linux发行版内置:CentOS、Ubuntu 在Kubernetes中使用Seccomp:Seccomp在K8
你应该了解的10个 Kubernetes 安全上下文设置[译]
因上努力,果上随缘。但行好事,莫问前程。
08-02 1699
在用加固你的应用时,有很多事情需要注意。如果使用得当,它们是一种非常有效的工具,我们希望这个列表能帮助你的团队为你的工作负载和环境进行正确的安全配置。https。
Docker 中 jdk8容器里无法使用 JDK 的 jmap 等命令的问题
J_Lee
11-16 602
Docker 中 jdk8容器里无法使用 JDK 的 jmap 等命令的问题
Docker容器无法启动后,如何修改里面的配置文件
qq_37547408的博客
01-04 2789
本来想修改mysql数据的配置文件,加了一个system_time_zone=CST 修改数据库时区,结果再次启动docker的时候直接报错: [ERROR] [MY-000067] [Server] unknown variable 'system_time_zone=CST'. docker exec -it mysql bash 已经无法进入容器了,问题是容器无法启动, 但容器配置文件又在容器里面, 我们该怎么办呢 ? 方法一: 把docker容器中的配置文件复制到主机中,然后在主机中修改,修改
Centos7 配置Docker镜像加速器
天涯芳草
08-15 2920
Docker配置国内加速进行。 Docker更改默认的镜像源
docker-compose学习
AWhiteDongDong的博客
04-19 747
参考
Docker远程连接设置 2021-01-14
m0_45230875的博客
01-14 412
开启Docker远程连接后,在开发和学习时都能带来便利,但请不要将此方式用在外部网络环境,以免带来安全问题,下图是官方警告: 环境信息 本次实战先在CentOS上的Docker设置,再在Ubuntu上也设置,首先要实战的CentOS环境信息如下: 操作系统:CentOS Linux release 7.6.1810 Docker:1.13.1, build b2f74b2/1.13.1 设置 1.编辑此文件:/lib/systemd/system/docker.service 原来的设置: ExecStar
基于libev和mongoose的集成多种协议的异步嵌入式网络库Evmongoose设计源码
最新发布
09-25
该项目是采用libev和mongoose构建的,支持多协议集成的异步嵌入式网络库Evmongoose的设计源码,包含47个文件,其中包括15个Lua脚本、13个C语言源代码、4个文本文件、4个Markdown文件、2个密钥文件、2个PEM文件、2个头文件、1个Git忽略文件、1个授权文件、1个SHTML文件。Evmongoose库支持TCP、HTTP、WebSocket和MQTT等多种协议,并提供了Lua API接口,适用于嵌入式网络开发领域。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值