Docker中的Seccomp:通过系统调用过滤减少内核攻击面
Containers offer process-level isolation but still rely on the shared kernel of the host system. This means that if a containerized process makes an unsafe or malicious system call, it can...
容器提供进程级隔离,但依赖主机共享内核。seccomp(安全计算模式)控制容器进程的系统调用,默认Docker seccomp配置阻止40多种危险调用。用户可自定义配置以增强安全性,结合其他安全特性形成防御模型,从而降低攻击者利用漏洞的可能性。
