問題タブ [seccomp]

seccomp_load()が呼び出された後もフィルターを解放する必要がありますか? または、呼び出しの一部がseccomp_rule_add()失敗した場合のみですか?

例えば

オプション1

オプション2

seccomp フィルターでの SYS_syscallname と __NR_syscallname の使用の違いはどれですか? どちらを使用する必要がありますか?

私はseccompレコード「ping」を使用してsyscallを使用しています。実行すると、常に通知されます

socket: 操作は許可されていません。

bashでpingをうまく実行できますが、プログラムでseccompフィルターをロードした後は機能しません。

しかし、ルートで同じプログラムを実行すると、非常にうまく動作します。

これは、4.15.0-54-generic カーネルを使用して Ubuntu 18.04 で実行されています。

ルートユーザーを使用してプログラムを実行しようとしましたが、子の進行状況で setuid(1000) を使用して通常のユーザーに設定しましたが、まだ機能しません。

フォークを使用しない場合でも、許可されていないことに気づきます。

seccomp のデフォルト アクションを SCMP_ACT_ALLOW に変更しても、まだ機能しません。

これはCによる簡単なコードです。

私はgcc main.c -o main.out -lseccompそれをコンパイルするために使用します。

英語は私の最初の言語ではありません。文法について申し訳ありません。

Docker で使用する Golang アプリ ( go2seccompで生成) 用の seccomp プロファイルがありますが、コマンド ラインで を使用する必要はありません--security-opt。イメージの構築中にプロファイルを「統合」する方法はありますか? 理由の 1 つは、余分なファイルを持たないようにしdocker run、直接アクセスできるようにすることです。

たぶん、Docker と seccomp がどのように連携するかを理解していないか、これが利用できない機能である可能性があります。