GNU/Linux >> Znalost Linux >  >> Linux

Použijte perf uvnitř kontejneru dockeru bez --privileged

Po nějakém průzkumu problém není v 08 , ale s tím, že 17 (syscall) byl zařazen na černou listinu v dockeru:https://docs.docker.com/engine/security/seccomp/ "Docker v17.06:Bezpečnostní profily Seccomp pro Docker"

Významná systémová volání blokovaná výchozím profilem

25 Sledování/profilování systémového volání, které by mohlo na hostitele uniknout mnoho informací.

Moje první řešení je mít skript, který stáhne oficiální soubor seccomp https://github.com/moby/moby/blob/master/profiles/seccomp/default.json a přidá 38 do seznamu systémových volání na bílé listině.

Poté spustím docker s 47


Spusťte docker pomocí 55


Linux

  1. Jak spustit program uvnitř kontejneru Docker?

  2. Jak se odpojit od dockerového kontejneru bez zastavení

  3. Jak spustit Nginx v kontejneru Docker bez zastavení?

  1. Jak zjistit, zda proces běží uvnitř lxc/Docker?

  2. Může docker běžet uvnitř linuxového kontejneru?

  3. Co je uvnitř obrázku/kontejneru Dockeru?

  1. Jak používat Podman uvnitř kontejneru

  2. Jaké je PID v hostiteli procesu běžícího uvnitř kontejneru Docker?

  3. Zviditelnění připojení NFS na hostiteli a čtení a zápis v kontejneru Docker