seccomp介绍

什么是seccomp

seccomp(全称securecomputing mode)是linuxkernel2.6.23版本开始所支持的一种安全机制。

Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,同时是程序进入一种“安全”的状态。

详细介绍可参考seccomp内核文档


如何使用seccomp

seccomp可以通过系统调用ptrctl(2)或者通过系统调用seccomp(2)开启,前提是内核配置中开启了CONFIG_SECCOMPCONFIG_SECCOMP_FILTER

seccomp支持两种模式:SECCOMP_MODE_STRICTSECCOMP_MODE_FILTER。在SECCOMP_MODE_STRICT模式下,进程不能使用read(2)write(2)_exit(2)sigreturn(2)以外的其他系统调用。在SECCOMP_MODE_FILTER模式下,可以利用BerkeleyPacket Filter配置哪些系统调用及它们的参数可以被进程使用。


如何查看是否使用了seccomp

通常有两种方法:

  1. 利用prctl(2)PR_GET_SECCOMP的参数获取当前进程的seccomp状态。返回值0表示没有使用seccomp;返回值2表示使用了seccomp并处于SECCOMP_MODE_FILTER模式;其他情况进程会被SIGKILL信号杀死。

  2. Linux3.8开始,可以利用/proc/[pid]/status中的Seccomp字段查看。如果没有seccomp字段,说明内核不支持seccomp

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值