GNU/Linux >> Belajar Linux >  >> Linux

Gunakan perf di dalam wadah buruh pelabuhan tanpa --privileged

Setelah beberapa penelitian, masalahnya bukan pada perf_event_paranoid , tetapi dengan fakta bahwa perf_event_open (syscall) telah masuk daftar hitam di docker:https://docs.docker.com/engine/security/seccomp/ "Docker v17.06:profil keamanan Seccomp untuk Docker"

Syscall yang signifikan diblokir oleh profil default

perf_event_open Tracing/profiling syscall, yang dapat membocorkan banyak informasi pada host.

Solusi pertama saya untuk ini adalah memiliki skrip yang mengunduh file seccomp resmi https://github.com/moby/moby/blob/master/profiles/seccomp/default.json, dan menambahkan perf_event_open ke daftar syscall yang masuk daftar putih.

Saya kemudian memulai buruh pelabuhan dengan --security-opt seccomp=my-seccomp.json


Jalankan buruh pelabuhan dengan --cap-add SYS_ADMIN


Linux

  1. Cara Melepaskan Dari Wadah Docker Tanpa Menghentikannya

  2. Bisakah buruh pelabuhan berjalan di dalam Wadah Linux?

  3. Apa PID di host, dari proses yang berjalan di dalam container Docker?

  1. Cara menggunakan Podman di dalam wadah

  2. Bagaimana Cara Menjalankan Program Di Dalam Wadah Docker?

  3. Gunakan Variabel Di Dalam {} Ekspansi Tanpa `eval`?

  1. Pengantar Docker

  2. Cara Keluar dari Kontainer Docker

  3. Bagaimana cara menjalankan Nginx di dalam wadah Docker tanpa berhenti?