描述
如果需要,你可以选择在守护进程级别自定义 seccomp 配置文件,并覆盖 Docker 的默认 seccomp 配置文件。
安全出发点
大量系统调用暴露于每个用户级进程,其中许多系统调用在整个生命周期中都未被使用。大多数应用程序不需要所有的系统调用,因此可以通过减
少可用的系统调用来增加安全性。可自定义 seccomp 配置文件,而不是使用 Docker 的默认 seccomp 配置文件。如果 Docker 的默认配置文件够用的话,则可以选择忽略此建议。
审计方法
运行以下命令并查看 "SecurityOptions" 部分中列出的 seccomp 配置文件。如果它是默认那就意味着,应用了 Docker 的默认 seccomp 配置文件。
docker info --format='{
{.SecurityOptions}}'
结果判定
查看是否有非默认的 seccomp 配置文件
修复措施
默认情况下,Docker 使用默认 seccomp 配置文件。如果这对当前环境有益,则不需要采取任何行动。当然,也可以选择应用自己的
seccomp 配置文件,需要在守护进程启动时使用 --seccomp-profile 标志,或者