問題タブ [seccomp]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
docker - Docker コンテナの seccomp 違反をキャッチ
seccomp プロファイルで開始され、実行されたコンテナの禁止されたシステムコールの違反をキャッチしたいと思います。たとえば、私のプロファイルでは chown をブロックされていると定義していますが、これもコンテナー内でブロックされています。ここで、コンテナーがそのようなシステム コールを実行しようとしたかどうかをログに記録したいと思います。
役立つ可能性のあるSysdigを見つけましたが、seccomp は何らかのログ記録を有効にできるはずなので不要のようです。ホストのコンテナからブロックされたシステムコールをログに記録する方法がわかりません。
c - seccomp フィルターで動作する「Bad System Call」を取得する
seccomp フィルターについて学び始めたばかりで、libseccomp v2.4.4 を使用しています。という名前のファイルへの書き込みのみを許可する基本的なホワイトリスト フィルタを作成しようとしましたfile1が、「システム コールが正しくありません」というメッセージがSTDOUT. これが私のコードです:
さらに、出力が表示されませんfile1。私は初心者であり、参照からではなく、私の理解からコードを書いているため、ここで多くのことについて確信が持てません。問題は何ですか?
編集:フィルターを完全に削除し、単純に実行しました
これをたどると、 @pchaignofstatにcloseよる以下の回答で言及されているように、さらに syscallsが呼び出されていることがわかりました。したがって、期待される動作のためにこれらのシステムコールを許可する必要があります。mmapmunmap