在 docker 容器内使用 perf 而不使用 --privileged

问题描述 投票:0回答:3

我正在尝试使用 Docker 容器内的 perf 工具来记录给定的命令。

kernel.perf_event_paranoid
设置为 1,但当我不放置 
--privileged
标志时,容器的行为就像它是 2 一样。

我可以使用 

--privileged
,但是我运行 perf 的代码不受信任,如果我愿意通过允许 perf 工具来承担轻微的安全风险,那么在容器上授予特权似乎是不同级别的风险。

还有其他方法可以在容器内使用 perf 吗?

~$ docker version
Client:
 Version:      17.03.1-ce
 API version:  1.27
 Go version:   go1.7.5
 Git commit:   7392c3b/17.03.1-ce
 Built:        Tue May 30 17:59:44 2017
 OS/Arch:      linux/amd64

Server:
 Version:      17.03.1-ce
 API version:  1.27 (minimum version 1.12)
 Go version:   go1.7.5
 Git commit:   7392c3b/17.03.1-ce
 Built:        Tue May 30 17:59:44 2017
 OS/Arch:      linux/amd64
 Experimental: false

~$ cat /proc/sys/kernel/perf_event_paranoid
1
~$ perf record ./my-executable
perf_event_open(..., PERF_FLAG_FD_CLOEXEC) failed with unexpected error 1 (Operation not permitted)
perf_event_open(..., 0) failed unexpectedly with error 1 (Operation not permitted)
Error:
You may not have permission to collect stats.
Consider tweaking /proc/sys/kernel/perf_event_paranoid:
 -1 - Not paranoid at all
  0 - Disallow raw tracepoint access for unpriv
  1 - Disallow cpu events for unpriv
  2 - Disallow kernel profiling for unpriv
linux docker privileges perf
3个回答
39
投票

经过一番研究,问题不在于

perf_event_paranoid
,而在于
perf_event_open
(系统调用)已在docker中列入黑名单: https://docs.docker.com/engine/security/seccomp/“Docker v17.06:Docker 的 Seccomp 安全配置文件”

默认配置文件阻止了重要的系统调用

perf_event_open
跟踪/分析系统调用,这可能会泄露主机上的大量信息。

我的第一个解决方法是使用一个脚本来下载官方 seccomp 文件 https://github.com/moby/moby/blob/master/profiles/seccomp/default.json,并添加 

perf_event_open
到白名单系统调用列表。

然后我用 

--security-opt seccomp=my-seccomp.json

启动 docker
1
投票

使用 

--cap-add SYS_ADMIN

运行 docker
0
投票

您可以使用 

--cap-add PERFMON

运行 docker

参见: https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capability

https://github.com/moby/moby/blob/4fb17cb3afa7b143af071ab03a73487b9bee58f1/profiles/seccomp/default.json#L828

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.