seccomp
Qu'est-ce que seccomp ?
seccompFonctionnalite du noyau Linux qui restreint les appels systeme autorises a un processus ; le mode moderne seccomp-BPF/eBPF offre des filtres fins par syscall.
seccomp (secure computing mode) a ete ajoute a Linux 2.6.12 en 2005 sous une forme 'strict' grossiere limitant le processus a read, write, exit et sigreturn. Le mode moderne seccomp-BPF, disponible depuis Linux 3.5 (2012), permet d'installer un programme BPF classique (ou eBPF) qui inspecte le numero et les arguments de chaque syscall et renvoie ALLOW, ERRNO, TRAP, KILL ou USER_NOTIF. Les filtres se transmettent via fork/execve, ne peuvent plus etre assouplis et necessitent CAP_SYS_ADMIN ou PR_SET_NO_NEW_PRIVS. seccomp est l'ossature du filtrage syscall dans Docker, containerd, Kubernetes, systemd, les sandboxes de Chrome et Firefox, le Zygote Android, la privsep OpenSSH et les microVMs Linux comme Firecracker.
● Exemples
- 01
Le profil seccomp par defaut de Docker bloque environ 44 syscalls dangereux.
- 02
Le processus contenu de Firefox utilise seccomp-BPF pour bloquer presque tous les syscalls.
● Questions fréquentes
Qu'est-ce que seccomp ?
Fonctionnalite du noyau Linux qui restreint les appels systeme autorises a un processus ; le mode moderne seccomp-BPF/eBPF offre des filtres fins par syscall. Cette notion relève de la catégorie Cryptographie en cybersécurité.
Que signifie seccomp ?
Fonctionnalite du noyau Linux qui restreint les appels systeme autorises a un processus ; le mode moderne seccomp-BPF/eBPF offre des filtres fins par syscall.
Comment fonctionne seccomp ?
seccomp (secure computing mode) a ete ajoute a Linux 2.6.12 en 2005 sous une forme 'strict' grossiere limitant le processus a read, write, exit et sigreturn. Le mode moderne seccomp-BPF, disponible depuis Linux 3.5 (2012), permet d'installer un programme BPF classique (ou eBPF) qui inspecte le numero et les arguments de chaque syscall et renvoie ALLOW, ERRNO, TRAP, KILL ou USER_NOTIF. Les filtres se transmettent via fork/execve, ne peuvent plus etre assouplis et necessitent CAP_SYS_ADMIN ou PR_SET_NO_NEW_PRIVS. seccomp est l'ossature du filtrage syscall dans Docker, containerd, Kubernetes, systemd, les sandboxes de Chrome et Firefox, le Zygote Android, la privsep OpenSSH et les microVMs Linux comme Firecracker.
Comment se défendre contre seccomp ?
Les défenses contre seccomp combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de seccomp ?
Noms alternatifs courants : seccomp-BPF, secure computing mode.
● Termes liés
- cryptography№ 1006
SELinux
Security-Enhanced Linux, cadre MAC developpe par la NSA, mis en oeuvre via les hooks LSM et une politique de type enforcement.
- cryptography№ 053
AppArmor
Systeme de controle d'acces obligatoire base sur les chemins pour Linux, utilise par Ubuntu et SUSE comme alternative plus simple a SELinux pour confiner les programmes.
- cloud-security№ 213
Sécurité des conteneurs
Ensemble de pratiques visant à sécuriser les images de conteneur, les registres, les orchestrateurs et le runtime qui exécute les conteneurs.