经过研究,问题不在于
perf_event_paranoid,而是
perf_event_open(syscall)已在Docker中列入黑名单的事实:
https
://docs.docker.com/engine/security/seccomp/“ Docker
v17.06:Seccomp安全配置文件对于Docker”
默认配置文件阻止了大量系统调用
perf_event_open跟踪/分析系统调用,这可能会泄漏主机上的许多信息。
我对此的第一个解决方法是拥有一个脚本,该脚本可以下载官方seccomp文件https://github.com/moby/moby/blob/master/profiles/seccomp/default.json,并将其添加
perf_event_open到白名单中列出的系统调用。
然后我用
--security-opt seccomp=my-seccomp.json
