Eu não sou um especialista e realmente encontrei este post porque eu pesquisei a mesma pergunta, mas descobri isso.
Se você executar o docker com um perfil seccomp, especificando nada e o docker usará o padrão, ou especificando um perfil no daemon.json ou na linha de comandos e executando
docker run -it alpine /bin/sh
/ # grep Seccomp /proc/1/status
Seccomp: 2
Como você pode ver, você pode ver que o filtro Seccomp está ativado dentro da janela de encaixe. Se você disser explicitamente ao docker para executar sem perfil seccomp, você obtém 0.
docker run -it --security-opt seccomp=unconfine alpine /bin/sh
/ # grep Seccomp /proc/1/status
Seccomp: 0
Assim, você pode ver isso de dentro da janela de encaixe. Talvez isso faça sentido, pois são os processos dentro da janela de encaixe que precisam ser confinados pelo perfil seccomp.
Você também pode testar se um perfil faz algo baixando o perfil padrão de link e remover algo dele, e. chown e tente
docker run -it --security-opt seccomp=/etc/docker/myseccomp.json alpine /bin/sh
/ # touch testfile
/ # chown 100.100 testfile
chown: testfile: Operation not permitted
Finalmente, de acordo com a página man link , parece que a partir do kernel 4.14 você pode ver algo em
/proc/sys/kernel/seccomp/actions_avail
Isto não existe no meu kernel 4.9. Espero que isso seja útil para alguém.