Docker seccomp适用于alpine / busybox但不适用于ubuntu

debugcn 发表于 Dev

用户名

我有这个seccomp配置文件：

{
"defaultAction": "SCMP_ACT_ALLOW",
"architectures": [
    "SCMP_ARCH_X86_64",
    "SCMP_ARCH_X86",
    "SCMP_ARCH_X32"
],
"syscalls": [
    {
        "name": "chmod",
        "action": "SCMP_ACT_ERRNO",
        "args": []
    },
    {
        "name": "chown",
        "action": "SCMP_ACT_ERRNO",
        "args": []
    },
    {
        "name": "chown32",
        "action": "SCMP_ACT_ERRNO",
        "args": []
    } }

当使用它过滤高山或busybox容器上的系统调用时，它可以工作

docker run -it --security-opt seccomp=profile.json busybox /bin/sh
// chmod 777 /etc/hosts
// Error: operation not permitted

但这对ubuntu没有影响：18.04

docker run -it --security-opt seccomp=profile.json ubuntu:18.04 /bin/sh
// chmod 777 /etc/hosts
// Success

Docker版本为19.03.8

有没有人遇到这个问题？

Adiii

从docker-lab看来，您似乎缺少了另外两个属性以使其在Linux上正常工作

默认-NO-chmod.json轮廓是default.json轮廓的变形例>与chmod()，fchmod()，和chmodat()系统调用从其白名单中删除。

安全性seccomp

{
"defaultAction": "SCMP_ACT_ALLOW",
"architectures": [
    "SCMP_ARCH_X86_64",
    "SCMP_ARCH_X86",
    "SCMP_ARCH_X32"
],
"syscalls": [
    {
        "name": "chmod",
        "action": "SCMP_ACT_ERRNO",
        "args": []
    },
      {
        "name": "fchmod",
        "action": "SCMP_ACT_ERRNO",
        "args": [

        ]
      },
      {
        "name": "fchmodat",
        "action": "SCMP_ACT_ERRNO",
        "args": [

        ]
      },
    {
        "name": "chown",
        "action": "SCMP_ACT_ERRNO",
        "args": []
    },
    {
        "name": "chown32",
        "action": "SCMP_ACT_ERRNO",
        "args": []
    }] 
}

现在，如果您从ubuntu尝试过，您将获得预期的结果

docker run -it --security-opt seccomp=profile.json ubuntu:18.04 /bin/sh -c " chmod +x /etc/hosts"

chmod: changing permissions of '/etc/hosts': Operation not permitted

此外，busybox的结果相同

docker run -it --security-opt seccomp=profile.json busybox /bin/sh -c " chmod +x /etc/host"
chmod: /etc/host: No such file or directory

本文收集自互联网，转载请注明来源。

如有侵权，请联系[email protected] 删除。

编辑于2021-04-2

我来说两句

0条评论

登录后参与评论

来自分类Dev

docker 子域 api.localhost 适用于 chrome 但不适用于终端

来自分类Dev

适用于Docker容器的Ubuntu

来自分类Dev

测试适用于“ $ f”，但不适用于“ $ @”

来自分类Dev

适用于 PHP 但不适用于脚本

来自分类Dev

Docker Compose链接不适用于主机模式

来自分类Dev

docker stop不适用于节点进程

来自分类Dev

Docker中的Apache重写不适用于PHP文件

来自分类Dev

docker cp不适用于此mysql容器

来自分类Dev

Xdebug连接不适用于PhpStorm和Docker

来自分类Dev

docker --add-hostname不适用于Windows容器

来自分类Dev

Bash Heredoc似乎不适用于Docker RUN语句

来自分类Dev

Docker中的Apache重写不适用于PHP文件

来自分类Dev

UFW规则不适用于Docker

来自分类Dev

docker cp不适用于此mysql容器

来自分类Dev

Docker Compose链接不适用于主机模式

来自分类Dev

.bash_profile 不适用于 docker php 图像

来自分类Dev

程序适用于 Ubuntu 17.04 和 17.10，但不适用于 Ubuntu 18.04

来自分类Dev

CIFS 自动挂载适用于 ubuntu 12 但不适用于 ubuntu 16

来自分类Dev

腻子键，适用于 Win10，但不适用于 Ubuntu LTS 18.04

来自分类Dev

Forticlient VPN SSL DNS 适用于 Mac，但不适用于 Ubuntu

来自分类Dev

查询适用于 Windows 上的 MySQL，但不适用于 Ubuntu 上的 Mysql

来自分类Dev

constexpr 适用于 Ubuntu，但不适用于 MacOS

来自分类Dev

ImportError：适用于osx而不适用于ubuntu

来自分类Dev

适用于 Ubuntu 19.10 的 Docker ppa 包

来自分类Dev

适用于Windows的Docker.io

来自分类Dev

适用于微服务的Docker应用

来自分类Dev

适用于Docker的JFrog Xray祖先

来自分类Dev

Docker MACVLAN仅适用于出站

来自分类Dev

适用于 Python 的 Docker SDK：fileobj

Related 相关文章

文章