seccomp
¿Qué es seccomp?
seccompFuncion del kernel Linux que limita las llamadas al sistema que un proceso puede invocar; el modo moderno seccomp-BPF/eBPF permite filtros finos por syscall.
seccomp (secure computing mode) se incorporo a Linux 2.6.12 en 2005 como un modo 'strict' grueso que limita el proceso a read, write, exit y sigreturn. El moderno seccomp-BPF, disponible desde Linux 3.5 (2012), permite instalar un programa BPF clasico (o eBPF) que inspecciona el numero y los argumentos de cada syscall y devuelve ALLOW, ERRNO, TRAP, KILL o USER_NOTIF. Los filtros se heredan por fork/execve, no pueden relajarse una vez instalados y requieren CAP_SYS_ADMIN o PR_SET_NO_NEW_PRIVS. seccomp es la columna vertebral del filtrado de syscalls en Docker, containerd, Kubernetes, systemd, los sandboxes de Chrome y Firefox, el Zygote de Android, la privsep de OpenSSH y microVMs Linux como Firecracker.
● Ejemplos
- 01
El perfil seccomp por defecto de Docker bloquea ~44 syscalls peligrosas.
- 02
El proceso de contenido de Firefox usa seccomp-BPF para descartar casi todas las syscalls.
● Preguntas frecuentes
¿Qué es seccomp?
Funcion del kernel Linux que limita las llamadas al sistema que un proceso puede invocar; el modo moderno seccomp-BPF/eBPF permite filtros finos por syscall. Pertenece a la categoría de Criptografía en ciberseguridad.
¿Qué significa seccomp?
Funcion del kernel Linux que limita las llamadas al sistema que un proceso puede invocar; el modo moderno seccomp-BPF/eBPF permite filtros finos por syscall.
¿Cómo funciona seccomp?
seccomp (secure computing mode) se incorporo a Linux 2.6.12 en 2005 como un modo 'strict' grueso que limita el proceso a read, write, exit y sigreturn. El moderno seccomp-BPF, disponible desde Linux 3.5 (2012), permite instalar un programa BPF clasico (o eBPF) que inspecciona el numero y los argumentos de cada syscall y devuelve ALLOW, ERRNO, TRAP, KILL o USER_NOTIF. Los filtros se heredan por fork/execve, no pueden relajarse una vez instalados y requieren CAP_SYS_ADMIN o PR_SET_NO_NEW_PRIVS. seccomp es la columna vertebral del filtrado de syscalls en Docker, containerd, Kubernetes, systemd, los sandboxes de Chrome y Firefox, el Zygote de Android, la privsep de OpenSSH y microVMs Linux como Firecracker.
¿Cómo defenderse de seccomp?
Las defensas contra seccomp combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para seccomp?
Nombres alternativos comunes: seccomp-BPF, secure computing mode.
● Términos relacionados
- cryptography№ 1006
SELinux
Security-Enhanced Linux, marco de control de acceso obligatorio desarrollado por la NSA e implementado mediante los hooks LSM y una politica de type enforcement.
- cryptography№ 053
AppArmor
Sistema de control de acceso obligatorio basado en rutas para Linux, usado por Ubuntu y SUSE como alternativa mas simple a SELinux para confinar programas individuales.
- cloud-security№ 213
Seguridad de contenedores
Práctica de proteger imágenes de contenedor, registros, orquestadores y el runtime en el que se ejecutan los contenedores.