seccomp介绍
来源:互联网 发布:羽生结弦 知乎 编辑:程序博客网 时间:2024/06/05 04:28
什么是seccomp
seccomp(全称securecomputing mode)是linuxkernel从2.6.23版本开始所支持的一种安全机制。
在Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,同时是程序进入一种“安全”的状态。
详细介绍可参考seccomp内核文档。
如何使用seccomp
seccomp可以通过系统调用ptrctl(2)或者通过系统调用seccomp(2)开启,前提是内核配置中开启了CONFIG_SECCOMP和CONFIG_SECCOMP_FILTER。
seccomp支持两种模式:SECCOMP_MODE_STRICT和SECCOMP_MODE_FILTER。在SECCOMP_MODE_STRICT模式下,进程不能使用read(2),write(2),_exit(2)和sigreturn(2)以外的其他系统调用。在SECCOMP_MODE_FILTER模式下,可以利用BerkeleyPacket Filter配置哪些系统调用及它们的参数可以被进程使用。
如何查看是否使用了seccomp
通常有两种方法:
利用prctl(2)的PR_GET_SECCOMP的参数获取当前进程的seccomp状态。返回值0表示没有使用seccomp;返回值2表示使用了seccomp并处于SECCOMP_MODE_FILTER模式;其他情况进程会被SIGKILL信号杀死。
从Linux3.8开始,可以利用/proc/[pid]/status中的Seccomp字段查看。如果没有seccomp字段,说明内核不支持seccomp。
- seccomp介绍
- linux3.5 Seccomp
- seccomp sandbox简介
- Android O中的Seccomp过滤器
- Introduction to Seccomp: BPF linux syscall filter
- 【安全】Android O 中的 Seccomp 过滤器
- proxychains挂了 最近因为seccomp prevented execution of syscall
- 介绍
- 介绍
- 介绍
- 介绍
- 介绍
- 介绍
- 介绍
- 介绍
- 介绍
- 介绍
- 介绍
- java的位操作运算符
- 剑指offer——从1到n整数中1出现的次数(好题,新增的解法很好)
- Delphi中使用XmlHttp / XmlHttpRequest 避免缓存
- js或者css引用失败的原因之一
- Win10 ASP.NET 4.0 尚未在 Web 服务器上注册 解决方案
- seccomp介绍
- Swift:解决 Program License Agreement updated问题
- 深入理解Java虚拟机(4)--对象的创建(虚拟机再遇到一条new指令时,会怎么做?)
- Eclipse创建Maven Web项目
- CentOS 7.2下搭建Zabbix 3.2.6
- 使用css3将一个div水平和垂直居中显示
- css 移动端1px的解决方案
- 51NOD 1073 约瑟夫环
- Spring DBCP 连接Sqlserver