我正在尝试为 centos:7 构建一个 docker 映像,以限制任何用户(包括 root(可以在 docker 机器内执行的系统命令。我的目的是我想构建一个具有我需要的安全配置文件的 docker 映像,然后将其用作我的基础映像来构建其他应用程序映像,从而从基础映像继承安全配置文件。这可行吗?我错过了什么吗? 以下是我正在测试的示例安全配置文件:
{
"defaultAction" : "SCMP_ACT_ALLOW",
"syscalls": [
{
"name": "mkdir",
"action": "SCMP_ACT_ERRNO"
},
{
"name": "chown",
"action":"SCMP_ACT_ERRNO"
}
]
}
当我运行时:
docker build -t test . --security-opt seccomp:policy.json
它抛出一个错误:
Error response from daemon: The daemon on this platform does not support setting security options on build
关于如何克服这种或我可以使用的其他方法的想法?
来自 Github...
"Docker 引擎在执行命令"docker build"时不支持参数"--security-opt seccomp=">
@cason,您可以向守护程序提供自定义默认配置文件。 '--secomp-profile/path/to/profile.json'
https://github.com/moby/moby/issues/34454#issuecomment-321135510