码头的安全配置文件(码头建设-安全-选择)

Question

我试图为centos:7构建一个对接映像，它限制任何用户(包括root用户)可以在码头机器中执行的系统命令。我的意图是要构建一个带有我需要的安全配置文件的对接者映像，然后使用它作为我的基本映像来构建其他应用程序映像，从而从基本映像继承安全配置文件。这可行吗？我是不是遗漏了什么？下面是我正在测试的一个安全概要示例：

{
        "defaultAction" : "SCMP_ACT_ALLOW",
        "syscalls": [
        {
        "name": "mkdir",
        "action": "SCMP_ACT_ERRNO"
        },
        {
        "name": "chown",
        "action":"SCMP_ACT_ERRNO"
        }
        ]
}

当我跑步时：

docker build -t test . --security-opt seccomp:policy.json

它抛出一个错误：

Error response from daemon: The daemon on this platform does not support setting security options on build

如何克服这种或其他我可以使用的方法的想法？

Answer 1

从吉蒂布。

"Docker engine不支持参数“--安全性-选择seccomp=”在执行命令“"docker”时

@cason您可以向守护进程提供自定义的默认配置文件。‘-secomp-profile /path/to/profile.json’

https://github.com/moby/moby/issues/34454#issuecomment-321135510