Классный обзор, спасибо!
Вы не сказали ничего по поводу того как ограничивать другие программы (не свою). Seccomp правила наследуются?
Все процессы внутри контейнера наследуют ограничения. И контейнеризация всякого софта, не знакомого с контейнерами, превращается в то ещё удовольствие.
Интересно. Но как описать все нужные сисколлы для более-менее большого приложения? С трудом это представляю. Да и по-моему получится очень длинный список, где разрешено почти всё.
Только полноправные пользователи могут оставлять комментарии.
Войдите, пожалуйста.