问题标签 [seccomp]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
bpf - 在 libseccomp 中,什么是 scmp_filter_ctx?它是用来做什么的?
scmp_filter_ctx自从它被定义为之后,实际存储的是void什么?
请参阅 seccomp 头文件。
一般来说什么是a context?
kernel - 如何使用 seccomp_release libseccomp?
seccomp_load()我应该在调用后也释放过滤器吗?或者只有在某些调用seccomp_rule_add()失败的情况下?
例如
选项1
选项2
kernel - 将 seccomp_export_bpf 生成的代码加载到内核中
http://man7.org/linux/man-pages/man3/seccomp_export_bpf.3.html如何将生成的代码加载到内核中?此功能有哪些可能的用例?
bpf - 在 seccomp 中使用 SYS_syscallname __NR_syscallname 有什么区别吗?
在 seccomp 过滤器中使用 SYS_syscallname 和 __NR_syscallname 有什么区别?我应该使用哪一个?
bpf - seccomp 系统调用优先级值 65535
我读过优先级可以是 0 到 255 之间的值(http://man7.org/linux/man-pages/man3/seccomp_syscall_priority.3.html)。为什么使用 seccomp_export_pfc 的基线优先级是 65535???
c - 为什么加载 seccomp 过滤器后,普通用户无法 PING
我使用 seccomp 记录 'ping' 使用的系统调用。当我运行它时,它总是注意到
套接字:不允许操作。
我可以很好地在 bash 中运行 ping,但是在程序中加载 seccomp 过滤器后没有工作。
但是如果我用root运行同样的程序,它会运行得很好。
这是在具有 4.15.0-54-generic 内核的 Ubuntu 18.04 中运行的。
我试过用root用户运行程序,然后在子进程中,我用setuid(1000)设置为普通用户,还是不行。
如果我不使用 fork,它仍然会注意到没有预设。
如果我将 seccomp 默认操作更改为 SCMP_ACT_ALLOW,它仍然不起作用。
这是C的一个简单代码。
我gcc main.c -o main.out -lseccomp用来编译它。
英语不是我的第一语言,我对我的语法感到抱歉。
docker - Seccomp 和 Capabilities wrt Docker 环境有什么区别?
我想限制一个进程(在 docker 容器中运行)执行某些功能 - 我有 2 个选项,要么限制它的功能,要么我使用 seccomp 配置文件。
我的问题是在什么情况下选择哪个选项?我对这个领域比较陌生,所以非常欢迎简单的解释。
c - 如何在 ebpf 中使用 seccomp 过滤器?
我正在寻找 eBPF 的示例来编写 seccomp 过滤器,但我找不到。有人可以告诉我是否可以使用 eBPF 编写 seccomp 过滤器?
docker - 将 seccomp 配置文件集成到 Docker 映像中
我的 Golang 应用程序(使用go2seccomp生成)有一个 seccomp 配置文件,可与 Docker 一起使用,但不想在命令行中使用--security-opt. 有没有办法在构建图像时“集成”配置文件?一个原因是避免拥有额外的文件并能够docker run直接使用它。
也许我不了解 Docker 和 seccomp 如何协同工作,或者这只是不可用的功能。
bpf - 使用另一个数据结构而不是 seccomp_data 和 seccomp
是否可以在 seccomp 的 BPF 代码中使用其他数据结构而不是 seccomp_data?例如从这个...
对此