seccomp
Что такое seccomp?
seccompМеханизм ядра Linux, ограничивающий набор системных вызовов процесса; современный режим seccomp-BPF/eBPF позволяет задавать тонкие фильтры на каждый syscall.
seccomp (secure computing mode) был добавлен в Linux 2.6.12 в 2005 году как грубый режим 'strict', разрешающий лишь read, write, exit и sigreturn. Современный режим seccomp-BPF, доступный с Linux 3.5 (2012), позволяет установить классическую BPF-программу (или eBPF), которая проверяет номер и аргументы каждого syscall и возвращает ALLOW, ERRNO, TRAP, KILL или USER_NOTIF. Фильтры наследуются через fork/execve, не могут быть ослаблены после установки и требуют CAP_SYS_ADMIN или PR_SET_NO_NEW_PRIVS. seccomp — основа syscall-фильтрации в Docker, containerd, Kubernetes, systemd, песочницах Chrome и Firefox, Zygote Android, OpenSSH privsep и Linux microVM, таких как Firecracker.
● Примеры
- 01
Стандартный профиль seccomp в Docker блокирует около 44 опасных системных вызовов.
- 02
Процесс контента Firefox использует seccomp-BPF, чтобы отсечь почти все syscall.
● Частые вопросы
Что такое seccomp?
Механизм ядра Linux, ограничивающий набор системных вызовов процесса; современный режим seccomp-BPF/eBPF позволяет задавать тонкие фильтры на каждый syscall. Относится к категории Криптография в кибербезопасности.
Что означает seccomp?
Механизм ядра Linux, ограничивающий набор системных вызовов процесса; современный режим seccomp-BPF/eBPF позволяет задавать тонкие фильтры на каждый syscall.
Как работает seccomp?
seccomp (secure computing mode) был добавлен в Linux 2.6.12 в 2005 году как грубый режим 'strict', разрешающий лишь read, write, exit и sigreturn. Современный режим seccomp-BPF, доступный с Linux 3.5 (2012), позволяет установить классическую BPF-программу (или eBPF), которая проверяет номер и аргументы каждого syscall и возвращает ALLOW, ERRNO, TRAP, KILL или USER_NOTIF. Фильтры наследуются через fork/execve, не могут быть ослаблены после установки и требуют CAP_SYS_ADMIN или PR_SET_NO_NEW_PRIVS. seccomp — основа syscall-фильтрации в Docker, containerd, Kubernetes, systemd, песочницах Chrome и Firefox, Zygote Android, OpenSSH privsep и Linux microVM, таких как Firecracker.
Как защититься от seccomp?
Защита от seccomp обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия seccomp?
Распространённые альтернативные названия: seccomp-BPF, secure computing mode.
● Связанные термины
- cryptography№ 1006
SELinux
Security-Enhanced Linux — фреймворк обязательного контроля доступа, разработанный АНБ США и реализованный через LSM-хуки и политику type enforcement.
- cryptography№ 053
AppArmor
Система обязательного контроля доступа для Linux на основе путей; в Ubuntu и SUSE применяется как более простая альтернатива SELinux для ограничения отдельных программ.
- cloud-security№ 213
Безопасность контейнеров
Практика защиты образов контейнеров, реестров, оркестраторов и среды выполнения, в которой контейнеры исполняются.