0

0

Linux seccomp-bpf 的默认 profile 与 Docker/Kubernetes 自定义过滤器编写

冷炫風刃

冷炫風刃

发布时间:2026-02-16 16:07:13

|

924人浏览过

|

来源于php中文网

原创

linux seccomp-bpf 无内核默认策略,进程默认禁用;docker/k8s 的“默认”是各自预定义的白名单策略,自定义需基于实际系统调用行为和最小权限原则裁剪。

linux seccomp-bpf 的默认 profile 与 docker/kubernetes 自定义过滤器编写

Linux seccomp-bpf 没有全局“默认 profile”,其行为完全取决于应用是否显式启用 seccomp 并加载 BPF 过滤器。Docker 和 Kubernetes 的所谓“默认”实为各自预定义的白名单策略,而非内核内置规则;自定义过滤器需基于系统调用语义、容器最小权限原则和实际 workload 行为来编写,不能套用通用模板。

seccomp 在内核中无默认策略

内核本身不提供任何 seccomp 默认配置。进程默认处于 seccomp-disabled 状态(SECCOMP_MODE_DISABLED)。只有当进程调用 prctl(PR_SET_SECCOMP, ...) 或通过 clone/execve 继承已启用的 seccomp 状态时,才进入受限模式。这意味着:

  • 裸机上运行的普通进程不受 seccomp 限制
  • 未显式配置 seccomp 的容器(如直接用 runC 启动且未传入 --seccomp)也不会自动启用
  • “默认”一词在 seccomp 上下文中仅指 Docker/K8s 工具链的预设策略,非内核行为

Docker 的默认 seccomp profile 是白名单 + 安全裁剪

Docker 20.10+ 内置的默认 profile(default.json)允许约 60–70 个常用系统调用,拒绝其余所有调用(SCMP_ACT_ERRNO),并禁用高风险调用如 ptracemountsetuidsyslog 等。关键特点包括:

  • 基于 syscall 白名单,而非黑名单 —— 显式列出允许项,其余一律拒绝
  • personalitycapsetkeyctl 等能力相关调用默认禁止
  • 允许 openat 但限制 open(因后者更易绕过路径约束)
  • socket 调用按 domain/type/protocol 做细粒度放行(如只允 AF_INET, SOCK_STREAM

可通过 docker run --seccomp-default(显式启用)或 --seccomp ./profile.json 加载自定义文件;禁用则用 --seccomp=unconfined

Grammarly
Grammarly

Grammarly是一款在线语法纠正和校对工具,伟大的AI辅助写作工具

下载

Kubernetes 的 seccomp 配置依赖 Pod 安全策略与运行时支持

K8s 本身不解析或执行 seccomp 规则,而是将策略透传给容器运行时(如 containerd 或 CRI-O)。seccomp 配置通过 Pod 或 Container 的 securityContext.seccompProfile 字段声明:

  • type: RuntimeDefault:交由运行时决定(containerd 默认使用与 Docker 相同的 default.json)
  • type: Localhost + localhostProfile: "profiles/my-policy.json":从节点本地路径加载 JSON 文件(需提前部署到每个节点的 /var/lib/kubelet/seccomp/ 下)
  • type: Unconfined:跳过 seccomp 限制(不推荐)

注意:K8s v1.19+ 才正式支持该字段(GA),且要求 kubelet 启用 SeccompDefault 特性门控(v1.25+ 默认开启)。

编写自定义 seccomp 过滤器的关键实践

有效的自定义 profile 不是靠“加功能”,而是靠“减攻击面”。推荐步骤如下:

  • 先观测再限制:用 strace -f -e trace=raw_syscallauditd + ausearch -m avc -ts recent 记录容器真实 syscall 流量,识别必需调用
  • 继承 default.json 再裁剪:以 Docker 默认 profile 为起点,用 jq 删除明确不需要的条目(如移除 chmod 若容器只读文件系统)
  • 慎用 SCMP_ACT_TRACE:在调试阶段可设为 trace 并配合 seccomp-tools dumpbpftrace 分析被拦截行为,避免误杀
  • 按 syscall 参数过滤:例如限制 socket 仅允许 TCP/IPv4:
    "action": "SCMP_ACT_ALLOW", "args": [{"index":0,"value":2,"valueMask":4294967295},{"index":1,"value":1,"valueMask":4294967295}]
    (domain=AF_INET=2, type=SOCK_STREAM=1)
  • 避免硬编码 errno:用 SCMP_ACT_ERRNO 时指定标准错误码(如 "errnoRet": 1 对应 EPERM),而非随意返回值

工具链建议:用 docker-seccomp CLI 生成初始 profile;用 jqgit diff 管理 profile 版本;CI 中集成 check-seccomp 验证 JSON 结构与 syscall 存在性。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
json数据格式
json数据格式

JSON是一种轻量级的数据交换格式。本专题为大家带来json数据格式相关文章,帮助大家解决问题。

441

2023.08.07

json是什么
json是什么

JSON是一种轻量级的数据交换格式,具有简洁、易读、跨平台和语言的特点,JSON数据是通过键值对的方式进行组织,其中键是字符串,值可以是字符串、数值、布尔值、数组、对象或者null,在Web开发、数据交换和配置文件等方面得到广泛应用。本专题为大家提供json相关的文章、下载、课程内容,供大家免费下载体验。

544

2023.08.23

jquery怎么操作json
jquery怎么操作json

操作的方法有:1、“$.parseJSON(jsonString)”2、“$.getJSON(url, data, success)”;3、“$.each(obj, callback)”;4、“$.ajax()”。更多jquery怎么操作json的详细内容,可以访问本专题下面的文章。

321

2023.10.13

go语言处理json数据方法
go语言处理json数据方法

本专题整合了go语言中处理json数据方法,阅读专题下面的文章了解更多详细内容。

81

2025.09.10

default gateway怎么配置
default gateway怎么配置

配置default gateway的步骤:1、了解网络环境;2、获取路由器IP地址;3、登录路由器管理界面;4、找到并配置WAN口设置;5、配置默认网关;6、保存设置并退出;7、检查网络连接是否正常。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

229

2023.12.07

自建git服务器
自建git服务器

git服务器是目前流行的分布式版本控制系统之一,可以让多人协同开发同一个项目。本专题为大家提供自建git服务器相关的各种文章、以及下载和课程。

832

2023.07.05

git和svn的区别
git和svn的区别

git和svn的区别:1、定义不同;2、模型类型不同;3、存储单元不同;4、是否拥有全局版本号;5、内容完整性不同;6、版本库不同;7、克隆目录速度不同;8、分支不同。php中文网为大家带来了git和svn的相关知识、以及相关文章等内容。

573

2023.07.06

git撤销提交的commit
git撤销提交的commit

Git是一个强大的版本控制系统,它提供了很多功能帮助开发人员有效地管理和控制代码的变更,本专题为大家提供git 撤销提交的commit相关的各种文章内容,供大家免费下载体验。

273

2023.07.24

pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法
pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法

本专题系统整理pixiv网页版官网入口及登录访问方式,涵盖官网登录页面直达路径、在线阅读入口及快速进入方法说明,帮助用户高效找到pixiv官方网站,实现便捷、安全的网页端浏览与账号登录体验。

145

2026.02.13

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
PostgreSQL 教程
PostgreSQL 教程

共48课时 | 9.2万人学习

Git 教程
Git 教程

共21课时 | 3.7万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号