《OpenShift 4.x HOL教程汇总》

文章目录

  • 通过SECCOMP过滤在容器中的风险操作
  • 参考

通过SECCOMP过滤在容器中的风险操作

  1. 查看podman当前有关SECCOMP的配置
$ podman info | grep seccompseccompEnabled: truelibseccomp: 2.5.1
  1. 使用任意用户运行ubi镜像。
$ podman run -it registry.access.redhat.com/ubi7/ubi
  1. 在容器中执行命令,确认可以修改“/etc/hosts”属性,然后退出容器。
[root@f785305238e7 /]# chmod 777 /etc/hosts
[root@f785305238e7 /]# ls -al /etc/hosts
-rwxrwxrwx. 1 root root 199 Nov 12 07:12 /etc/hosts
[root@f785305238e7 /]# exit
exit
  1. 创建SECCOMP的策略文件,其中定义了缺省操作都是被允许的,但是通过“syscalls”定义过滤,"SCMP_ACT_ERRNO"阻止系统调用“fchmodat”。
$ cat << EOF > chmod.json
{"defaultAction": "SCMP_ACT_ALLOW","syscalls": [{"name": "fchmodat","action": "SCMP_ACT_ERRNO"}]
}
EOF
  1. 运行ubi镜像,这次使用SECCOMP的策略文件。
$ podman run -it --security-opt seccomp=./chmod.json registry.access.redhat.com/ubi7/ubi
  1. 确认这次无法修改“/etc/hosts”属性,即便是root用户也不能修改。
[root@4703a74ad176 /]# chmod 777 /etc/hosts
chmod: changing permissions of '/etc/hosts': Operation not permitted

参考

https://github.com/docker/labs/blob/master/security/seccomp/README.md

容器安全 - 通过SECCOMP过滤在容器中的风险操作相关推荐

  1. 解决无法注入spring容器,获取不到spring容器中的bean问题

    解决无法注入spring容器,获取不到spring容器中的bean问题 前两天工作中遇到一个问题,收到的需求是根据logbak日志实现通过过滤错误日志发送预警邮件到邮箱,logback自定义实现类如下 ...

  2. 容器编排技术 -- 使用Minikube在Kubernetes中运行应用

    容器编排技术 -- 使用Minikube在Kubernetes中运行应用 1 目标 2 准备工作 3 创建Minikube集群 4 创建Node.js应用程序 5 创建Docker容器镜像 6 创建D ...

  3. 第十三篇:multimap容器和multiset容器中的find操作

    前言 multimap容器是map容器的" 增强版 ",它允许一个键对应多个值.对于map容器来说,find函数将会返回第一个键值匹配元素所在处的迭代器.那么对于multimap容 ...

  4. sql docker容器_了解SQL Server Docker容器中的备份和还原操作

    sql docker容器 In this 17th article of the series (see the full article index at bottom), we will disc ...

  5. docker 容器 exited_Docker实战006:docker容器使用详解

    Docker容器也是docker的核心成员,是docker镜像的一个运行实例.一个镜像可以创建多个容器,多个容器也可以在同一台机器上运行并与其他容器共享操作系统内核同时将应用程序与系统其它周围环境隔离 ...

  6. docker容器网络 - 同一个host下的容器间通信

    2019独角兽企业重金招聘Python工程师标准>>> 对于复杂的应用,不可避免需要多个服务部署在多个容器中,并且服务间存在相互间通信的情况.比如服务A需要连接mysql的容器.本文 ...

  7. Spring核心技术之IOC容器(一):IOC容器与Bean简介

    最近开始研究Spring框架,今天学习Spring的核心内容IOC 与 Bean 1. Spring IOC 与 Bean 简介  Inversion of Control (IoC)即控制反转,也叫 ...

  8. 2021 阿里云容器服务年度盘点:企业级容器应用变化和技术趋势观察

    作者:溪洋 在云原生浪潮的推动下,容器和 Kubernetes 技术和应用发展迅猛.最近,云原生计算基金会 CNCF 发布了与 SlashData 联手撰写的 最新版<云原生开发现状报告> ...

  9. InfoQ宣布成立CNUT容器技术俱乐部 欲连接中国容器社区

    2015年8月28日,首届CNUTCon全球容器技术大会在北京举行.在大会上,极客邦科技与InfoQ中国创始人兼CEO霍泰稳宣布,InfoQ联合国内一线IT技术公司共同成立CNUT容器技术俱乐部,连接 ...

最新文章

  1. Office 365系列之四:添加自定义域
  2. 查询Windows api
  3. poll和死锁_计算机基础知识
  4. java 查找list中指定字符串出现的次数
  5. centos下安装pip时失败:
  6. 控件必须放在具有 runat=server 的窗体标记内错误的解决方法
  7. and5.1PowerManagerService深入分析(四)PMS与Display模块
  8. [图解]创建虚拟机以及安装CentOS系统和创建自定义布局
  9. 运行IIS提示500.21错误
  10. apache 服务器修改网站默认首页
  11. Django 、 uWSGI 和 nginx 搭建服务器python应用环境
  12. excel自动排班表_Excel教程:3秒搞定排班表模板
  13. 10个程序员可以接私活的平台和一些建议
  14. Linux入门学习 —— 常用的基本命令(下)
  15. 小程序动态隐藏分享按钮
  16. 利用Python爬取QQ好友头像
  17. CSS学习笔记7PS切图与仿学成在线例子
  18. Resilio Sync 无法获取追踪器列表 解决方法
  19. “逛吃逛吃”中的眼动研究 ——旅游与眼动
  20. 20172303 20172322 2017-2018-2 暑假作业 结对编程项目-舒尔特方格(及获小黄衫感想)...

热门文章

  1. java1.8输出语句_[【小白学Java——干货】1.初学Java,认识语法、变量与输出语句...
  2. mysql事务日志备份_事务日志备份 (SQL Server)
  3. kafka 分组消费topic_关于kafka更改消费者对应分组下的offset值
  4. 适合办公的笔记本电脑_最适合你的十款笔记本电脑
  5. python直方图教程_python如何画直方图
  6. 无法读取内存属于错误吗_索佳全站仪错误信息讲解
  7. sql 相加_Java整数相加溢出怎么办?Java 8 还是厉害!
  8. python程序如何做界面_如何用Python给已有小程序做界面?
  9. string型c语言,C++中string字符串类型介绍
  10. mysql function_MySQL基础函数——数学函数详解