Seccomp和Capabilities Docker环境有什么不同？

Question

我想限制一个进程(在docker容器中运行)执行某些功能--我有两个选项，要么限制它的功能，要么使用seccomp配置文件。

我的问题是，在什么情况下应该选择哪个选项？我是这个领域的新手，所以一个简单的解释是非常受欢迎的。

Answer 1

基本上，与Linux capabilities相比，seccomp提供了更细粒度的控制。

如果您计划旋转多个容器，并且希望避免重复添加/删除功能，则seccomp可能是一个更快的解决方案(DRY原则)。

但是，如果您只需要(原文如此)绑定到主机网络，则可以使用NET_ADMIN功能，而无需编写整个seccomp配置文件。