应用守护进程范围的自定义seccomp配置文件

描述

如果需要,您可以选择在守护进程级别自定义seccomp配置文件,并覆盖Docker的默认seccomp配置文件

隐患分析

大量系统调用暴露于每个用户级进程,其中许多系统调用在整个生命周期中都未被使用。 大多数应用程序不需要所有的系统调用,因此可以通过减少可用的系统调用来增加安全性。 可自定义seccomp配置文件,而不是使用Docker的默认seccomp配置文件。 如果Docker的默认配置文件够用的话,则可以选择忽略此建议

审计

shell script [root@localhost ~]# docker info --format '{{.SecurityOptions}}'

修复建议

错误配置的seccomp配置文件可能会中断的容器运行。Docker默认的策略兼容性很好,可以解决一些基本的安全问题。 所以,在重写默认值 时,你应该非常小心

参考文档

Copyright © weiliang 2021 all right reserved,powered by Gitbook本书发布时间: 2024-04-22 16:03:42

results matching ""

    No results matching ""