Docker

ubuntu

AppArmor

centos

SELinux

файл /​proc/sys/net/ipv4/ip_default_ttl

Это не ФС.

Если у вас network=host, то никак.

Коллеги, день добрый. Подскажите как сделать так чтобы докер не мог писать в ФС хоста?

Поместить его в докер, который этого не делает.

Дык рута не давать в контейнер и фиг чего он запишет.

Чем плоха запись в /​proc/sys/net/ipv4/ip_default_ttl ? IMHO у контейнера своя net_ns.

Трафик идет через хост? Ну так зафильтруй :)

в lxc это решается так

lxc.mount.auto
              specify which standard kernel file systems should be
              automatically mounted. This may dramatically simplify
              the configuration. The file systems are:

              • proc:mixed (or proc):
                mount /proc as read-write, but
                remount /proc/sys and
                /proc/sysrq-trigger read-only
                for security / container isolation purposes.

IMHO у контейнера своя net_ns

Да, стркутура netns_ipv4 в каждом netns своя. Раз ему удается из контейнера читать/писать в хостовую netns_ipv4, то у него в контейнере хостовый неймспейс.

Это, конечно, можно запретить seccomp(==eBPF) в docker, mask/umask в последних подманах, но это все странно и не очень работает, т.к. есть куча других способов читать/писать netns_ipv4.

окей, а подскажи тогда что выбрать чтобы и доступ в сеть был, и чтобы не писал в /​proc/sys/net/ipv4/ip_default_ttl ?

выбрать чтобы и доступ в сеть был

Опубликовать порт, docker run -p host-port:container-port

Кажется, что выше ответили сверхподробно, детально.

Или опишите точнее и полнее, в чем заключается проблема и чего вы хотите добиться.

Зависит от того какой доступ в сеть? Если просто приложение опубликовать, то по поводу порта уже подсказали. А вот если у тебя там какая-нибудь хитрая штуковина, работающая, например, через мультикаст - тогда придется поприседать...