linux seccomp使用和原理

linux seccomp使用和原理

概要

  1. linux的沙箱机制,可以限制进程对系统调用的访问,从系统调用号,到系统调用的参数,都可以检查和限制
  2. 有两种模式
    1. SECCOMP_MODE_STRICT, 进程只能访问read,write,_exit,sigreturn系统调用
    2. SECCOM_MODE_FILTER,通过设置bpf规则,来过滤和检查系统调用号,和系统调用参数,来决定对进程访问系统调用的处理
  3. systemd,container都使用seccomp机制来限定对进程的对系统调用的访问权限

参看

  1. man seccomp, man prctl
【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/zhedan/p/12486094.html