seccomp
O que é seccomp?
seccompFuncionalidade do kernel Linux que restringe as chamadas de sistema permitidas a um processo; o moderno seccomp-BPF/eBPF permite filtros finos por syscall.
seccomp (secure computing mode) foi adicionado ao Linux 2.6.12 em 2005 como um modo 'strict' grosseiro que limita o processo a read, write, exit e sigreturn. O moderno seccomp-BPF, disponivel desde o Linux 3.5 (2012), permite instalar um programa BPF classico (ou eBPF) que inspeciona o numero e os argumentos de cada syscall e devolve ALLOW, ERRNO, TRAP, KILL ou USER_NOTIF. Os filtros sao herdados via fork/execve, nao podem ser relaxados depois de instalados e exigem CAP_SYS_ADMIN ou PR_SET_NO_NEW_PRIVS. seccomp e a espinha dorsal do filtro de syscalls em Docker, containerd, Kubernetes, systemd, sandboxes do Chrome e Firefox, Zygote do Android, privsep do OpenSSH e microVMs Linux como o Firecracker.
● Exemplos
- 01
O perfil seccomp padrao do Docker bloqueia ~44 syscalls perigosos.
- 02
O processo de conteudo do Firefox usa seccomp-BPF para descartar quase todos os syscalls.
● Perguntas frequentes
O que é seccomp?
Funcionalidade do kernel Linux que restringe as chamadas de sistema permitidas a um processo; o moderno seccomp-BPF/eBPF permite filtros finos por syscall. Pertence à categoria Criptografia da cibersegurança.
O que significa seccomp?
Funcionalidade do kernel Linux que restringe as chamadas de sistema permitidas a um processo; o moderno seccomp-BPF/eBPF permite filtros finos por syscall.
Como funciona seccomp?
seccomp (secure computing mode) foi adicionado ao Linux 2.6.12 em 2005 como um modo 'strict' grosseiro que limita o processo a read, write, exit e sigreturn. O moderno seccomp-BPF, disponivel desde o Linux 3.5 (2012), permite instalar um programa BPF classico (ou eBPF) que inspeciona o numero e os argumentos de cada syscall e devolve ALLOW, ERRNO, TRAP, KILL ou USER_NOTIF. Os filtros sao herdados via fork/execve, nao podem ser relaxados depois de instalados e exigem CAP_SYS_ADMIN ou PR_SET_NO_NEW_PRIVS. seccomp e a espinha dorsal do filtro de syscalls em Docker, containerd, Kubernetes, systemd, sandboxes do Chrome e Firefox, Zygote do Android, privsep do OpenSSH e microVMs Linux como o Firecracker.
Como se defender contra seccomp?
As defesas contra seccomp costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para seccomp?
Nomes alternativos comuns: seccomp-BPF, secure computing mode.
● Termos relacionados
- cryptography№ 1006
SELinux
Security-Enhanced Linux, framework de controlo de acesso obrigatorio desenvolvido pela NSA, implementado via hooks LSM e politica de type enforcement.
- cryptography№ 053
AppArmor
Sistema de controlo de acesso obrigatorio para Linux baseado em caminhos, usado por Ubuntu e SUSE como alternativa mais simples ao SELinux para confinar programas.
- cloud-security№ 213
Segurança de contentores
Prática de proteger imagens de contentor, registos, orquestradores e o runtime onde os contentores são executados.