问题标签 [seccomp]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
202 浏览

bpf - 在 libseccomp 中,什么是 scmp_filter_ctx?它是用来做什么的?

scmp_filter_ctx自从它被定义为之后,实际存储的是void什么? 请参阅 seccomp 头文件

一般来说什么是a context

0 投票
1 回答
148 浏览

kernel - 如何使用 seccomp_release libseccomp?

seccomp_load()我应该在调用后也释放过滤器吗?或者只有在某些调用seccomp_rule_add()失败的情况下?

例如

选项1

选项2

0 投票
1 回答
95 浏览

kernel - 将 seccomp_export_bpf 生成的代码加载到内核中

http://man7.org/linux/man-pages/man3/seccomp_export_bpf.3.html如何将生成的代码加载到内核中?此功能有哪些可能的用例?

0 投票
1 回答
78 浏览

bpf - 在 seccomp 中使用 SYS_syscallname __NR_syscallname 有什么区别吗?

在 seccomp 过滤器中使用 SYS_syscallname 和 __NR_syscallname 有什么区别?我应该使用哪一个?

0 投票
1 回答
85 浏览

bpf - seccomp 系统调用优先级值 65535

我读过优先级可以是 0 到 255 之间的值(http://man7.org/linux/man-pages/man3/seccomp_syscall_priority.3.html)。为什么使用 seccomp_export_pfc 的基线优先级是 65535???

0 投票
1 回答
226 浏览

c - 为什么加载 seccomp 过滤器后,普通用户无法 PING

我使用 seccomp 记录 'ping' 使用的系统调用。当我运行它时,它总是注意到

套接字:不允许操作。

我可以很好地在 bash 中运行 ping,但是在程序中加载 seccomp 过滤器后没有工作。

但是如果我用root运行同样的程序,它会运行得很好。

这是在具有 4.15.0-54-generic 内核的 Ubuntu 18.04 中运行的。

我试过用root用户运行程序,然后在子进程中,我用setuid(1000)设置为普通用户,还是不行。

如果我不使用 fork,它仍然会注意到没有预设。

如果我将 seccomp 默认操作更改为 SCMP_ACT_ALLOW,它仍然不起作用。

这是C的一个简单代码。

gcc main.c -o main.out -lseccomp用来编译它。

英语不是我的第一语言,我对我的语法感到抱歉。

0 投票
1 回答
307 浏览

docker - Seccomp 和 Capabilities wrt Docker 环境有什么区别?

我想限制一个进程(在 docker 容器中运行)执行某些功能 - 我有 2 个选项,要么限制它的功能,要么我使用 seccomp 配置文件。

我的问题是在什么情况下选择哪个选项?我对这个领域比较陌生,所以非常欢迎简单的解释。

0 投票
2 回答
909 浏览

c - 如何在 ebpf 中使用 seccomp 过滤器?

我正在寻找 eBPF 的示例来编写 seccomp 过滤器,但我找不到。有人可以告诉我是否可以使用 eBPF 编写 seccomp 过滤器?

0 投票
0 回答
66 浏览

docker - 将 seccomp 配置文件集成到 Docker 映像中

我的 Golang 应用程序(使用go2seccomp生成)有一个 seccomp 配置文件,可与 Docker 一起使用,但不想在命令行中使用--security-opt. 有没有办法在构建图像时“集成”配置文件?一个原因是避免拥有额外的文件并能够docker run直接使用它。

也许我不了解 Docker 和 seccomp 如何协同工作,或者这只是不可用的功能。

0 投票
1 回答
53 浏览

bpf - 使用另一个数据结构而不是 seccomp_data 和 seccomp

是否可以在 seccomp 的 BPF 代码中使用其他数据结构而不是 seccomp_data?例如从这个...

对此