docker verifique se o perfil seccomp padrão é aplicado

1

Gostaria de saber se um contêiner docker específico executa ou não o perfil seccomp padrão. Não tenho acesso à linha de comando que foi usada para iniciar o contêiner nem ao Dockerfile.

iniciando ps aufxwww , posso ver que o processo /usr/bin/dockerd-current tem as opções --seccomp-profile=/etc/docker/seccomp.json . Este é realmente o arquivo de perfil seccomp padrão.

No entanto, o processo /usr/bin/docker-containerd-current , iniciando o aplicativo conteinerizado, não o fez. E docker inspect retorna: "SecurityOpt": null, .

Então qual eu confio?

EDITAR

Mais surpreendente, executei uma janela de encaixe ao especificar explicitamente um filtro seccomp

docker run -d --security-opt seccomp=/etc/docker/seccomp.python.json friendly

e o arquivo /proc/$pid/status retorna seccomp 0 .

Eu teria esperado, de acordo com o homem:

2 SECCOMP_MODE_FILTER
    
por philippe 05.09.2018 / 17:23

1 resposta

1

Eu não sou um especialista e realmente encontrei este post porque eu pesquisei a mesma pergunta, mas descobri isso.

Se você executar o docker com um perfil seccomp, especificando nada e o docker usará o padrão, ou especificando um perfil no daemon.json ou na linha de comandos e executando

docker run -it alpine /bin/sh
/ # grep Seccomp /proc/1/status
Seccomp:        2

Como você pode ver, você pode ver que o filtro Seccomp está ativado dentro da janela de encaixe. Se você disser explicitamente ao docker para executar sem perfil seccomp, você obtém 0.

docker run -it --security-opt seccomp=unconfine alpine /bin/sh
/ # grep Seccomp /proc/1/status
Seccomp:        0

Assim, você pode ver isso de dentro da janela de encaixe. Talvez isso faça sentido, pois são os processos dentro da janela de encaixe que precisam ser confinados pelo perfil seccomp.

Você também pode testar se um perfil faz algo baixando o perfil padrão de link e remover algo dele, e. chown e tente

docker run -it --security-opt seccomp=/etc/docker/myseccomp.json alpine /bin/sh
/ # touch testfile
/ # chown 100.100 testfile
chown: testfile: Operation not permitted

Finalmente, de acordo com a página man link , parece que a partir do kernel 4.14 você pode ver algo em

/proc/sys/kernel/seccomp/actions_avail

Isto não existe no meu kernel 4.9. Espero que isso seja útil para alguém.

    
por 30.10.2018 / 15:47