GNU/Linux >> Linux Esercitazione >  >> Linux

Usa perf all'interno di un contenitore docker senza --privileged

Dopo alcune ricerche, il problema non riguarda il perf_event_paranoid , ma con il fatto che perf_event_open (syscall) è stato inserito nella lista nera in docker:https://docs.docker.com/engine/security/seccomp/ "Docker v17.06:Seccomp security profiles for Docker"

Chiamate di sistema significative bloccate dal profilo predefinito

perf_event_open Chiamata di sistema di tracciamento/profilatura, che potrebbe far trapelare molte informazioni sull'host.

La mia prima soluzione è avere uno script che scarichi il file seccomp ufficiale https://github.com/moby/moby/blob/master/profiles/seccomp/default.json e aggiunga perf_event_open all'elenco delle chiamate di sistema autorizzate.

Quindi avvio la finestra mobile con --security-opt seccomp=my-seccomp.json


Esegui la finestra mobile con --cap-add SYS_ADMIN


Linux

  1. Come staccare da un contenitore Docker senza fermarlo

  2. Come uscire da un container Docker

  3. Come eseguire Nginx all'interno di un contenitore Docker senza interruzioni?

  4. La finestra mobile può essere eseguita all'interno di un contenitore Linux?

  5. Cosa c'è all'interno di un'immagine/contenitore Docker?

Come utilizzare il comando Esegui Docker con esempi

Come installare e utilizzare il contenitore Rocky Linux Docker

Come ispezionare il contenuto di un'immagine Docker senza avviare un contenitore

Usa i contenitori Docker Stop senza rovinare le cose!

Come utilizzare Docker Commit per modificare le immagini del contenitore

Rendere visibile un montaggio NFS sull'host e leggere-scrivere all'interno del contenitore Docker