lun4t1c@home:~$

Archive

Categories

About

RSS

关于 seccomp

  • seccomp 的全称为 securecomputing mode

  • seccomp 支持两种模式:SECCOMP_MODE_STRICT 和 SECCOMP_MODE_FILTER

  • 在 SECCOMP_MODE_STRICT 模式下,进程不能使用 read(2), write(2), _exit(2) 和 sigreturn(2) 以外的系统调用

  • 在 SECCOMP_MODE_FILTER 模式下,进程可以使用 BerkeleyPacket Filter 来配置可用的系统调用及其参数

查看是否使用 seccomp

  • 可以通过 /proc/[pid]/status 中的 seccomp 字段查看

  • 如果没有 seccomp 字段,说明内核不支持 seccomp