Как сопоставить системные вызовы Linux с возможностями

Question

Я хочу запустить контейнер в непривилегированном режиме. Это попытка сохранить его более безопасным и для лучшего контроля. Я записал несколько системных вызовов из своего контейнера.Ниже приведены системные вызовы:

recvfrom

mmap

write

read

fstat

recvmsg

mprotect

munmap

сокет

fcntl

io_submit

io_getevents

выберите

epoll_ctl

lseek

sendmsg

ioctl

stat

sendto

sched_yield

sysdigevent

rt_sigaction

Как сопоставить вышеуказанные системные вызовы с возможностями?Я хочу добавить эти возможности во время работы моего контейнера

Answer 1

Помимо sysdigevent, который я не могу определить, остальные выглядят как базовые системные вызовы.Если вы не работаете с привилегированными сокетами, необработанными блочными устройствами или чем-то еще по своей сути привилегированным, вам не нужны никакие возможности.