个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
30
4
docker run过程中出现以下错误和 docker build从 Debian 8 升级到 Debian 9 后:
ERROR: Service 'etherpad' failed to build: OCI runtime create failed: container_linux.go:344: starting container process caused "error loading seccomp filter into kernel: invalid argument": unknown
--seccomp-profile:unconfined 运行容器时解决了这个问题但 build 不支持这个标志(
https://github.com/moby/moby/issues/21105 )。我还尝试通过 daemon.json 将它传递给守护程序,但这在启动过程中导致错误。
grep CONFIG_SECCOMP= /boot/config-$(uname -r)
CONFIG_SECCOMP=y
Containers: 38
Running: 9
Paused: 0
Stopped: 29
Images: 119
Server Version: 18.09.2
Storage Driver: aufs
Root Dir: /var/lib/docker/aufs
Backing Filesystem: extfs
Dirs: 275
Dirperm1 Supported: true
Logging Driver: json-file
Cgroup Driver: cgroupfs
Plugins:
Volume: local
Network: bridge host macvlan null overlay
Log: awslogs fluentd gcplogs gelf journald json-file local logentries splunk syslog
Swarm: inactive
Runtimes: runc
Default Runtime: runc
Init Binary: docker-init
containerd version: 9754871865f7fe2f4e74d43e2fc7ccd237edcbce
runc version: 09c8266bf2fcf9519a651b04ae54c967b9ab86ec
init version: fec3683
Security Options:
seccomp
WARNING: You're not using the default seccomp profile
Profile: /root/labs/security/seccomp/seccomp-profiles/default.json
Kernel Version: 3.16.0-7-amd64
Operating System: Debian GNU/Linux 9 (stretch)
OSType: linux
Architecture: x86_64
CPUs: 4
Total Memory: 15.71GiB
Docker Root Dir: /var/lib/docker
Debug Mode (client): false
Debug Mode (server): false
Registry: https://index.docker.io/v1/
Labels:
Experimental: false
Insecure Registries:
127.0.0.0/8
Live Restore Enabled: false
Product License: Community Engine
WARNING: No memory limit support
WARNING: No swap limit support
WARNING: No kernel memory limit support
WARNING: No oom kill disable support
WARNING: No cpu cfs quota support
WARNING: No cpu cfs period support
最佳答案
TLDR; 升级到 Stretch 后重启服务器。
您的问题看起来与我遇到的问题相似。我收到以下错误:
OCI runtime create failed: container_linux.go:345: starting container process caused "error loading seccomp filter into kernel: invalid argument": unknown
Kernel Version: 3.16.0-7-amd64
# uname -a
Linux debian 3.16.0-7-amd64 #1 SMP Debian 3.16.59-1 (2018-10-03) x86_64 GNU/Linux
# reboot
# uname -a
Linux debian 4.9.0-9-amd64 #1 SMP Debian 4.9.168-1+deb9u2 (2019-05-13) x86_64 GNU/Linux
关于从 debian 8 升级到 debian 9 后出现 Docker seccomp 错误,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54904915/
30
4
0
我正在编写一个受 seccomp 保护的应用程序。 此应用程序使用 fork() 然后使用 execvp() 来运行某些程序。 根据 Linux kernel documentation.,似乎我程序
我正在尝试为不同的系统调用实现陷阱函数。目标是,经纪人将执行它们,然后返回结果。所以客户端不会自己执行命令。 Seccomp 提供了实现这一目标的能力: 我做了什么? 为 SIGSYS 信号初始化信号
在设置严格模式 seccomp 后,流向 EXIT_SUCCESS。在 main 的末尾调用 syscall(SYS_exit, EXIT_SUCCESS); 是正确的做法吗? #include #
所以我偶然发现了一个使用 seccomp 来过滤掉一些系统调用的 C 程序。无论如何,除了暴力破解之外,还有什么可以找出实际允许的系统调用。 提前致谢 最佳答案 如果可以编译C程序,可以调用secco
我最近在用 libcap 和 libseccomp 编写程序,我发现将它们一起使用时会出现问题。 在下面的最小可重现示例中,我首先将当前进程的能力设置为仅 P(inheritable) = CAP_N
问题: docker 在哪里存储它的默认 seccomp 配置文件? 似乎这在任何地方都没有记录(至少我找不到)。我能找到的是github上文件的内容:https://github.com/moby/
这是 pwnable.kr 中的最新问题,asm.c 使用 seccomp 来限制我的系统调用,除了:write()、open()、read() 和 exit()。 asm.c: #include
我有一个现有程序,我想使用 seccomp (v2) 对其进行沙盒处理。 我如何才能找到我需要为该程序允许的 seccomp 规则? 我尝试为 strace -xfc a.out 打印的所有系统调用添
问题:我正在尝试使用 seccomp,但我不明白为什么 gcc 告诉我 seccomp() 函数调用具有隐式声明。 #define _GNU_SOURCE #include // offsetof
我正在使用 Linux 的 seccomp 来包含不同的应用程序,但我遇到了一个我无法解释的不一致问题。 我已尝试为您提供足够清晰的示例以重现该问题。 我正在创建一个“保护器模块”,它不允许进程调用
为什么进入 seccomp 模式的进程总是在退出时被杀死? $ cat simple.c #include #include #include int main( int argc, char
我正在研究 seccomp-bpf 的实现细节,这是从 3.5 版开始引入 Linux 的系统调用过滤机制。我从 Linux 3.10 查看了 kernel/seccomp.c 的源代码,想问一些关于
我正在使用 seccomp 过滤器来限制进程进行的系统调用。最多使用系统调用的白名单来允许和禁止系统调用是可以理解的。我坚持由 seccomp 规则生成的 ptrace 事件的概念。例如,我可以禁止
我现在正在实现在 fork 之后在子进程中运行另一个程序。 int main(int argc, char *argv[]) { pid_t pid = 0; int status;
我有一个函数 f(),它返回 0 或 1 - 0 表示假,1 表示真。我想做的是用 seccomp-bpf 设置一个规则,这样系统调用“fopen”只有在 f( --fopen 的第一个参数 -- )
有没有类似seccomp的东西可以在 Windows 上运行吗? 它应该将所有系统调用限制在一些非常有限的集合中,比如只读取和写入已经打开的文件。 描述为 sandbox for Chromium 的
我在项目中通过 python-prctl 启用了 seccomp。我不太清楚如何彻底退出 - 结果总是被杀死。 我看到一些示例使用 ctypes 或 ffi 来尝试引用 libc,但如果我希望它们使用
我刚刚开始学习 seccomp 过滤器,我正在使用 libseccomp v2.4.4。我试图编写一个基本的白名单过滤器,它只允许写入名为 file1 的文件。但我在 STDOUT 中收到“错误的系统
我想限制一个进程(在 docker 容器中运行)执行某些功能 - 我有 2 个选项,要么限制它的功能,要么我使用 seccomp 配置文件。 我的问题是在什么情况下选择哪个选项?我对这个领域比较陌生,
我有这个 seccomp 个人资料: { "defaultAction": "SCMP_ACT_ALLOW", "architectures": [ "SCMP_ARCH_X86_64",
我是一名优秀的程序员,十分优秀!