Docker 守护进程配置之应用程序守护进程范围的自定义 seccomp 配置文件

最新推荐文章于 2024-05-25 10:07:14 发布
最新推荐文章于 2024-05-25 10:07:14 发布
阅读量661 收藏 1
点赞数
分类专栏: Docker 文章标签: docker 容器 高级 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhichunqi/article/details/103557520
版权

描述

如果需要,你可以选择在守护进程级别自定义 seccomp 配置文件,并覆盖 Docker 的默认 seccomp 配置文件。

安全出发点

大量系统调用暴露于每个用户级进程,其中许多系统调用在整个生命周期中都未被使用。大多数应用程序不需要所有的系统调用,因此可以通过减
少可用的系统调用来增加安全性。可自定义 seccomp 配置文件,而不是使用 Docker 的默认 seccomp 配置文件。如果 Docker 的默认配置文件够用的话,则可以选择忽略此建议。

审计方法

运行以下命令并查看 "SecurityOptions" 部分中列出的 seccomp 配置文件。如果它是默认那就意味着,应用了 Docker 的默认 seccomp 配置文件。

docker info --format='{
   {.SecurityOptions}}'

结果判定

查看是否有非默认的 seccomp 配置文件

修复措施

默认情况下,Docker 使用默认 seccomp 配置文件。如果这对当前环境有益,则不需要采取任何行动。当然,也可以选择应用自己的 
seccomp 配置文件,需要在守护进程启动时使用 --seccomp-profile 标志,或者
最低0.47元/天 解锁文章
chunqi zhi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker 生产环境之安全性 - 适用于 DockerSeccomp 安全配置文件
kikajack的博客
03-17 5501
原文地址安全计算模式(secure computing mode,seccomp)是 Linux 内核功能。可以使用它来限制容器内可用的操作。seccomp() 系统调用在调用进程的 seccomp 状态下运行。可以使用此功能来限制你的应用程序的访问权限。只有在使用 seccomp 构建 Docker 并且内核配置了 CONFIG_SECCOMP 的情况下,此功能才可用。要检查你的内核是否支持 se
Kubernetes 容器安全 Seccomp 限制容器进程系统调用
小楼一夜听春雨,深巷明朝卖杏花
07-05 3952
Seccomp(Secure computing mode) 是一个 Linux 内核安全模块,可用于应用进程允许使用的系统调用。 容器实际上是宿主机上运行的一个进程,共享宿主机内核,如果所有容器都具有任何系统调用的能力,那么容器如果被入侵,就很轻松绕过容器隔离更改宿主机系统权限或者进入宿主机。 这就可以使用Seccomp机制限制容器系统调用,有效减少攻击面。 Linux发行版内置:CentOS、Ubuntu 在Kubernetes中使用Seccomp:Seccomp在K8
docker run:–security-opt seccomp=unconfined选项解析 (安全计算模式Secure Computing Mode,实现系统调用过滤,禁用或允许某些系统调用)
最新发布
dzqxwzoe的博客
05-25 1073
Seccomp,即安全计算模式,是 Linux 内核的一部分,用于限制进程可以使用的系统调用2。通过禁止或限制对某些系统调用的访问,Seccomp可以有效减少攻击者能够利用的攻击面。Docker 在默认情况下启用了 Seccomp,并提供了一个默认的配置文件,该文件白名单了大约300个系统调用,其他的则被禁止。这意味着在 Docker容器中运行的进程只能访问这些已经过滤的系统调用。总的来说,Docker 的选项是一个强大的工具,可以提供更大的灵活性。
Docker Seccomp特性学习笔记
legenddcr的专栏
08-21 3673
什么是Seccomp? Secure computing mode (seccomp):Linux kernel的一个特性。在Docker中利用这个特性限制container中可以做哪些操作。 Seccomp在Ubuntu 16.04+上可用 在docker运行的host kernel上执行可以查看kernel是否enable了Seccomp: $ grep CONFIG_SECC...
docker命令及选项大全
weixin_41825556的博客
05-31 1105
(说明:本文章非原创,因为觉实用,故记录以作后用,原文地址    https://www.cnblogs.com/maruidong/p/8011368.html)Docker命令Commands:    attach    Attach to a running container                --将终端依附到容器上              1> 运行一个交互型容器  ...
详解Docker守护进程配置及日志
09-30
主要介绍了详解Docker守护进程配置及日志,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
docker守护进程配置和操作的方法
09-30
主要介绍了docker守护进程配置和操作的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Docker守护进程安全配置项目详解
09-29
主要介绍了Docker守护进程安全配置介绍,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
浅谈Docker安全性支持(上篇)
Spontaneous_0的博客
02-16 421
浅谈Docker安全性支持(上篇)
linux安装docker,已经遇到的问题
温润如风的博客
10-12 1万+
在实际开发中,我们经常会遇到多台机器配置相同的软件运行环境。 比如配置一个tomcat,mysql...一些环境,其他机器也需要相同的环境时,就会一遍一遍的进行配置,比较麻烦。 而且容器容器之间是完全隔离的。 在学习的过程中发现Docker可以解决这个问题,所以记录下安装遇到的坑 1、首先我们需要安装linux系统,可以上网 2、接下来需要查看linux内核版本,因为Docker需要L...
终于有人把 Docker 讲清楚了,万字详解!
开发者技术前线-DevolperFront
02-22 792
点击上方“开发者技术前线”,选择“星标”14:00在看真爱转自:乐章 http://39sd.cn/732DD一、简介1、了解Docker的前生LXCLXC为Linux Con...
linux docker修改镜像配置文件,Linux中修改docker镜像源及安装docker
weixin_34512248的博客
04-29 629
1、首先备份系统自带yum源配置文件/etc/yum.repos.d/CentOS-Base.repomv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak2、进入yum源配置文件所在的文件夹cd /etc/yum.repos.d/3、下载163的yum源配置文件(CentOS7)wget http://...
简单说说容器/沙盒(Sandbox)以及Linux seccomp
Netfilter
07-20 1万+
如果应用程序逻辑有误,会造成操作系统崩溃… 这句话其实不对。如果一个应用程序都能让一个操作系统崩溃了,那这一定是这个系统在设计上或者实现上的BUG!再次重申,我不知道谭浩强的C语言教材现在是怎么讲的,但是至少在15年前,很多老师都会说访问空指针会造成操作系统崩溃,这在32位虚拟内存的系统中是错误的。 虽然一个应用程序不能让一个正常的现代操作系统崩溃,但是它却可以对操作系统的运行环境造成巨大...
【转】Docker 生产环境之安全性 - 适用于 DockerSeccomp 安全配置文件
snipercai的博客
05-22 2025
安全计算模式(secure computing mode,seccomp)是 Linux 内核功能。可以使用它来限制容器内可用的操作。seccomp() 系统调用在调用进程的 seccomp 状态下运行。可以使用此功能来限制你的应用程序的访问权限。只有在使用 seccomp 构建 Docker 并且内核配置了 CONFIG_SECCOMP 的情况下,此功能才可用。要检查你的内核是否支持 secco...
Docker入门之Docker安全
weixin_56993834的博客
07-23 436
一 理解Docker安全 Docker容器安全性,很大程度上依赖于Linux系统自身,评估Docker安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 Linux控制组机制对容器资源的控制能力安全。 Linux内核的能力机制所带来的操作权限安全 Docker程序(特别是服务端)本身的抗攻击性。 其他安全增强机制对容器安全性的影响 命名空间隔离的安全: 当docker run启动一个容器时,Docker将在后台为容器创建一个独立的命名空间。命...
【云安全系列】Seccomp—云安全syscall防护利器
Rethinking the Kernel
10-28 5176
本文从 Seccomp 机制出发,在 linux 内核层面介绍了 Seccomp 可以实现的安全能力即对进程的系统调用限制能力。Kubernetes 为我们提供了可以对容器进行系统调用层面保护的接口即 Seccomp 能力。在云原生场景,通过使用 ebpf 的手段获取业务系统调用白名单,通过linux 内核支持的 Seccomp 机制对业务容器进行系统调用维度的防护,进而保证业务容器 syscall 层面的安全
seccomp介绍
热门推荐
mashimiao的专栏
06-22 2万+
什么是seccomp seccomp(全称securecomputing mode)是linuxkernel从2.6.23版本开始所支持的一种安全机制。 在Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,
Docker守护进程配置
11-04
Docker守护进程配置包括查看Docker守护进程的运行状态、启动、停止、重启Docker守护进程Docker守护进程的启动选项以及修改Docker守护进程的启动配置。可以使用命令"docker info"来查看Docker守护进程的运行情况,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值