Контейнеры и безопасность: seccomp

[mkevac]

Классный обзор, спасибо!
Вы не сказали ничего по поводу того как ограничивать другие программы (не свою). Seccomp правила наследуются?

[dglushenok]

Все процессы внутри контейнера наследуют ограничения. И контейнеризация всякого софта, не знакомого с контейнерами, превращается в то ещё удовольствие.

[pansa]

Интересно. Но как описать все нужные сисколлы для более-менее большого приложения? С трудом это представляю. Да и по-моему получится очень длинный список, где разрешено почти всё.