seccomp
Was ist seccomp?
seccompLinux-Kernel-Funktion zur Einschraenkung der Systemaufrufe eines Prozesses; der moderne seccomp-BPF/eBPF-Modus erlaubt feingranulare Pro-Syscall-Filter.
seccomp (secure computing mode) wurde 2005 mit Linux 2.6.12 als grobkoerniger 'strict'-Modus eingefuehrt, der einen Prozess auf read, write, exit und sigreturn beschraenkt. Der moderne seccomp-BPF-Modus, ab Linux 3.5 (2012), erlaubt es, ein klassisches BPF-Programm (oder eBPF) zu installieren, das jeden Syscall-Nummer und seine Argumente prueft und ALLOW, ERRNO, TRAP, KILL oder USER_NOTIF zurueckgibt. Filter werden ueber fork/execve vererbt, lassen sich nach Installation nicht lockern und benoetigen CAP_SYS_ADMIN oder PR_SET_NO_NEW_PRIVS. seccomp ist Grundlage des Syscall-Filterings in Docker, containerd, Kubernetes, systemd, Chrome- und Firefox-Sandboxes, Android Zygote, OpenSSH-Privsep sowie Linux-MicroVMs wie Firecracker.
● Beispiele
- 01
Das Docker-Standard-seccomp-Profil sperrt etwa 44 gefaehrliche Syscalls.
- 02
Der Firefox-Content-Prozess nutzt seccomp-BPF, um nahezu alle Syscalls abzuweisen.
● Häufige Fragen
Was ist seccomp?
Linux-Kernel-Funktion zur Einschraenkung der Systemaufrufe eines Prozesses; der moderne seccomp-BPF/eBPF-Modus erlaubt feingranulare Pro-Syscall-Filter. Es gehört zur Kategorie Kryptografie der Cybersicherheit.
Was bedeutet seccomp?
Linux-Kernel-Funktion zur Einschraenkung der Systemaufrufe eines Prozesses; der moderne seccomp-BPF/eBPF-Modus erlaubt feingranulare Pro-Syscall-Filter.
Wie funktioniert seccomp?
seccomp (secure computing mode) wurde 2005 mit Linux 2.6.12 als grobkoerniger 'strict'-Modus eingefuehrt, der einen Prozess auf read, write, exit und sigreturn beschraenkt. Der moderne seccomp-BPF-Modus, ab Linux 3.5 (2012), erlaubt es, ein klassisches BPF-Programm (oder eBPF) zu installieren, das jeden Syscall-Nummer und seine Argumente prueft und ALLOW, ERRNO, TRAP, KILL oder USER_NOTIF zurueckgibt. Filter werden ueber fork/execve vererbt, lassen sich nach Installation nicht lockern und benoetigen CAP_SYS_ADMIN oder PR_SET_NO_NEW_PRIVS. seccomp ist Grundlage des Syscall-Filterings in Docker, containerd, Kubernetes, systemd, Chrome- und Firefox-Sandboxes, Android Zygote, OpenSSH-Privsep sowie Linux-MicroVMs wie Firecracker.
Wie schützt man sich gegen seccomp?
Schutzmaßnahmen gegen seccomp kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für seccomp?
Übliche alternative Bezeichnungen: seccomp-BPF, secure computing mode.
● Verwandte Begriffe
- cryptography№ 1006
SELinux
Security-Enhanced Linux, ein von der NSA entwickeltes Mandatory-Access-Control-Framework, das ueber die Linux-Security-Module-Hooks und eine Type-Enforcement-Policy umgesetzt wird.
- cryptography№ 053
AppArmor
Pfadbasiertes Mandatory-Access-Control-System fuer Linux; Ubuntu und SUSE setzen es als einfachere Alternative zu SELinux ein, um einzelne Programme einzuschraenken.
- cloud-security№ 213
Container-Sicherheit
Die Praxis, Container-Images, Registries, Orchestratoren und die Laufzeitumgebung, in der Container ausgeführt werden, abzusichern.