Я хочу запускать произвольные (потенциально опасные) двоичные файлы на своем сервере. Поэтому я использовал objcopy , чтобы переименовать «главный» символ в «other_main», чтобы я мог связать свою небольшую основную функцию, которая устанавливает...

Как я могу ограничить любой системный вызов, сделанный внутри док-контейнера. Если данный процесс делает системный вызов, он будет заблокирован. Или как я могу использовать seccomp с докером.

Я использую фильтры seccomp для ограничения системных вызовов, выполняемых процессом. Вплоть до использования белого списка системных вызовов для разрешения и запрета системного вызова понятно. Я остановился на концепции ptrace событий,...

Я выполнил установку OpenSSH_6.6p1 с OpenSSL 1.0.1f. Он работает нормально. В OpenSSH_6.6p1 есть sandbox-seccomp-filter . Как я могу изменить правила в фильтре, а затем как снова реализовать фильтр, чтобы OpenSSH мог фильтровать конкретный...

Мне нужно иметь возможность разветвить процесс. Насколько я понимаю, мне нужно установить параметр security-opt. Я попытался сделать это с помощью команды docker, и она отлично работает. Однако, когда я делаю это в файле компоновки докеров,...

У меня есть существующая программа, которую я хотел бы поместить в песочницу с помощью seccomp (v2). Как узнать, какие правила seccomp мне нужно разрешить для программы? Я пытался добавить seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(…),...

В разделе SECCOMP_SET_MODE_STRICT документа man 2 seccomp сказано, что: Обратите внимание, что хотя вызывающий поток больше не может вызывать sigprocmask(2), он может использовать sigreturn(2) для блокировки всех сигналов, кроме SIGKILL и...

Я немного сбит с толку, пытаясь получить возвращаемое значение системного вызова с помощью ptrace + seccomp. man 4 bpf говорит : FILTER MACHINE A filter program is an array of instructions, with all branches forwardly directed, terminated...

http://man7.org/linux/man-pages/man3/seccomp_export_bpf.3.html как я могу загрузить сгенерированный код в ядро? Каковы возможные варианты использования этой функции?

Я ищу пример eBPF для написания фильтра seccomp, но не могу найти. Может ли кто-нибудь сказать мне, можно ли использовать eBPF для написания фильтра seccomp?

Я пытаюсь реализовать трассировщик системных вызовов с поддержкой ядро SECCOMP фильтрует, чтобы уменьшить накладные расходы, отфильтровывая несколько типов системных вызовов. Все реализации, которые я нашел, написаны на C, я не могу понять, как...

Я хочу запустить процесс с примененным к нему профилем seccomp (можно из C, терминала и т.д.). В частности, я бы хотел, чтобы целевой команде не разрешалось читать и записывать какие-либо файлы, и она могла просто печатать на консоли. Временный...