LINUX SECCOMP模块介绍

news2025/1/10 3:10:25

SECCOMP介绍

Seccomp是 "secure computing" 的缩写。Linux内核2.6.12版本（2005年3月8日）引入。是linux一个安全模块，用于限制程序系统调用；当时如果使用了SECCOMP只允许4个系统调用：

read，write，_exit，sigreturn

我们来看下例子

#include <fcntl.h>
#include <stdio.h>
#include <unistd.h>
#include <sys/prctl.h>
#include <linux/seccomp.h>

void configure_seccomp() {
    printf("Configuring seccomp\n");
    prctl(PR_SET_SECCOMP, SECCOMP_MODE_STRICT);
}

int main(int argc, char* argv[]) {
    int infd, outfd;

    if (argc < 3) {
        printf("Usage:\n\t%s <input path> <output_path>\n", argv[0]);
        return -1;
    }

    printf("Starting test seccomp Y/N?");
    char c = getchar();
    if (c == 'y' || c == 'Y') configure_seccomp();

    printf("Opening '%s' for reading\n", argv[1]);
    if ((infd = open(argv[1], O_RDONLY)) > 0) {
        ssize_t read_bytes;
        char buffer[1024];
        printf("Opening '%s' for writing\n", argv[2]);
        if ((outfd = open(argv[2], O_WRONLY | O_CREAT, 0644)) > 0) {
            while ((read_bytes = read(infd, &buffer, 1024)) > 0)
                write(outfd, &buffer, (ssize_t)read_bytes);
        }
        close(infd);
        close(outfd);
    }
    printf("End!\n");

    return 0;
}

使用下列命令编译

gcc seccomp.cpp -o seccomp

使用下列命令运行程序后，我们使用N不启用SECCOMP，发现将in.txt拷贝到了out.txt，说明拷贝成功。

我们如果使用Y，启用了SECCOMP，得到的结果如下所示，程序被Kill，也就是在SECCOMP模式下，我们运行了除了上面描述的

参考

浅谈Linux SECCOMP安全机制在容器中的使用 - 腾讯云开发者社区-腾讯云 (tencent.com)

The Route to Host：从内核提权到容器逃逸 – 绿盟科技技术博客 (nsfocus.net)

Seccomp、BPF与容器安全 - 先知社区 (aliyun.com)

探究K8S v1.19 GA的Seccomp - 知乎 (zhihu.com)

云原生安全 — seccomp应用最佳实践-阿里云开发者社区 (aliyun.com)

Seccomp security profiles for Docker | Docker Documentation

Restrict a Container's Syscalls with seccomp | Kubernetes

seccomp - Wikipedia

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/25310.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！

相关文章

Flutter组件--Padding和AnimatedPadding

Flutter组件--Padding和AnimatedPadding

示意图: Padding介绍在应用程序中有许多widget 时，这个时候画面常常会变得很拥挤，这个时候如果想要在widget之间来保留一些间距，那就用 Padding 为什么使用 Padding 而不使用 Container.padding 属性的 Container? Container 是将许多更…

阅读更多...

RabbitMQ-08 不公平分发与预取值

RabbitMQ-08 不公平分发与预取值

不公平分发我们之前演示的所有示例都遵循轮询分发，也就是多个消费者时交替消费队列消息。可以想一下我们之前的一个例子。Worker02处理消息只需要1s但是Worker03处理一个消息却用30s的情况。那么这个时候我们就要使用到不公平分发。简而言之就是能者多劳。需要在消…

阅读更多...

亚马逊刷单测评的正确方法是什么样的？

亚马逊刷单测评的正确方法是什么样的？

做亚马逊刷单测评时想要有效果，测评方法很重要，不能直接通过链接进行下单，这样显的很不真实，如果是要找人帮忙测评，可以通过以下方式进行： 1、通过关键词搜索进入选择自己想刷的关键词，直接搜…

阅读更多...

物联网安全年报小结

物联网安全年报小结

小结不仅仅是 LockerGoga，其他勒索软件也对工业系统造成了重大损失，如全球第二大听力集团 Demant 被勒索造成损失达 9500 万美元 [21]；世界上最大的飞机零部件供给商之一 ASCO，因其位于比利时扎芬特姆的工厂系统遭勒索病毒传染…

阅读更多...

目标检测算法——YOLOv5/YOLOv7改进之结合RepVGG（速度飙升）

目标检测算法——YOLOv5/YOLOv7改进之结合RepVGG（速度飙升）

>>>深度学习Tricks，第一时间送达<<< 目录 RepVGG——极简架构，SOTA性能！！！ （一）前沿介绍 1.RepVGGBlock模块 2.相关实验结果 （二）YOLOv5/YOLOv7改…

阅读更多...

Alibaba官方上线，SpringBoot+SpringCloud全彩指南（第五版）

Alibaba官方上线，SpringBoot+SpringCloud全彩指南（第五版）

Alibaba作为国内一线互联网大厂，其中springcloudAlibaba更是阿里微服务最具代表性的技术之一，很多人只知道springcloudAlibaba其实面向微服务技术基本上都有的下面就给大家推荐一份Alibaba官网最新版：SpringBootSpringCloud微服务全栈开发小册…

阅读更多...

基于STM32G431嵌入式学习笔记——三、KEY按键入门

基于STM32G431嵌入式学习笔记——三、KEY按键入门

一、按键在CubeXM里的配置可以打开先前配置过LED的CubeMX，在其基础上进行按键的配置。个人建议在这里先将原环境拷贝更改副本文件夹名为LED_KEY_LCD 打开文件夹中的.ioc文件进行配置在配置之前，我们先查阅产品手册了解按键的电路图，以…

阅读更多...

07-Nginx 日志管理及自动切割

07-Nginx 日志管理及自动切割

Nginx 日志管理及自动切割对于程序员、运维来说，日志非常得重要。通过日志可以查看到很多请求访问信息，及异常信息。Nginx 也提供了对日志的强大支持。日志管理范围首先，下面要讲的这些日志相关属性可以配置在任意模块。在不同的模块&…

阅读更多...

如果我在初用tomcat时，是看到这篇tomcat架构解析，是不是就不会被说菜鸡了！

如果我在初用tomcat时，是看到这篇tomcat架构解析，是不是就不会被说菜鸡了！

写在前面 tomcat作为一个中间件，相信绝大多数java程序员，多多少少都应该用到过吧。尤其是在springboot还未流行的时候，本地环境，没少跑tomcat服务吧？ 我们一般都是直接使用，将我们的web服务，直…

阅读更多...

疫情下跨越一万公里的友情：熊超与飒特电子哨兵的故事

疫情下跨越一万公里的友情：熊超与飒特电子哨兵的故事

在熊超（化名）家中，有一面照片墙，上面贴满了他在非洲工作十多年的剪影。这些照片整齐地摆放成一个心形，挂在客厅最显眼的位置。每当亲戚朋友来访，熊超都会为他们讲起自己援助非洲十余年发生的故事。十多年…

阅读更多...

【无标题】EXCEL实现刷题

【无标题】EXCEL实现刷题

实现的思路： 导入题库word文件导入到excel–>绑定随机事件选定考题。 word题库导入Excel表的代码如下： 整理题库结构（添加题号，分离答案） Public Sub numAdd() Dim rng As Range, RNG1 As Range With Sheet1 .[b1]…

阅读更多...

linuex服务器中如何安装mysql数据库（一次性完成，包含远程连接）

linuex服务器中如何安装mysql数据库（一次性完成，包含远程连接）

大家好。我是雄雄，欢迎关注微信公众号：雄雄的小课堂今天给大家介绍一下，如何在新服务器中安装mysql数据库，总是捣鼓服务器，每次都去网上查，次次都不一样，浪费好多时间，这次自己记录…

阅读更多...

Imperceptible Backdoor Attack: From Input Space to Feature Representation 笔记

Imperceptible Backdoor Attack: From Input Space to Feature Representation 笔记

1. 论文信息论文名称Imperceptible Backdoor Attack: From Input Space to Feature Representation作者Nan Zhong（Fudan University）会议/出版社IJCAI 2022pdf📄在线pdf 本地pdf代码💻pytorch概要文中提出了一种难以察觉的后门…

阅读更多...

temporal shift module(TSM)

temporal shift module(TSM)

【官方】Paddle2.1实现视频理解经典模型 — TSM - 飞桨AI Studio本项目将带大家深入理解视频理解领域经典模型TSM。从模型理论讲解入手，深入到代码实践。实践部分基于TSM模型在UCF101数据集上从训练到推理全流程实现行为识别任务。 - 飞桨AI Studiohttps://aistudio…

阅读更多...

2. Object中equals和toStirng 源码分析

2. Object中equals和toStirng 源码分析

文章目录1.equals方法2.重写equals方法为何一定要重写hashCode方法？2.1 反例演示3.toString方法4. 整型转二进制我们都知道Object是所有类的父类，那么它里面的一些方法你是否真的理解了呢？ 下面我们就以源码为基础来学习这些看似简单的方法吧…

阅读更多...

谷歌浏览器无法使用翻译功能的解决方案，谷歌浏览器无法翻译怎么办？谷歌浏览器右键翻译失效了？

谷歌浏览器无法使用翻译功能的解决方案，谷歌浏览器无法翻译怎么办？谷歌浏览器右键翻译失效了？

如果你发现网站别的方案无效，请参考我的方案， 绝对有效！ 2022年起，突然发现谷歌浏览器的翻译功能无法使用了，既然发现问题，就要解决问题，按照下面的步骤一步一步来操作首先下载最新版谷歌浏览…

阅读更多...

[附源码]java毕业设计校园出入管理系统

[附源码]java毕业设计校园出入管理系统

项目运行环境配置： Jdk1.8 Tomcat7.0 Mysql HBuilderX（Webstorm也行） Eclispe（IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持）。项目技术： SSM mybatis Maven Vue 等等组成，B/S模式 M…

阅读更多...

【Lua基础第4章】Lua的流程控制、#的作用、table的创建方式、table表常用方法、函数、多返回值、可变长参数

【Lua基础第4章】Lua的流程控制、#的作用、table的创建方式、table表常用方法、函数、多返回值、可变长参数

文章目录💨更多相关知识👇一、Lua 的流程控制🔸if语句🌟代码演示🔸if...else 语句🌟代码演示🔸if...elseif...else 语句二、#的作用三、table的创建方式四、table表的常用方法使用🔹…

阅读更多...

标记肽Suc-AAPI-pNA、72682-77-0

标记肽Suc-AAPI-pNA、72682-77-0

标记肽Suc-AAPI-对硝基苯胺编号: 184433 中文名称: 标记肽Suc-AAPI-对硝基苯胺英文名: Suc-Ala-Ala-Pro-Ile-pNA CAS号: 72682-77-0 单字母: Suc-AAPI-pNA 三字母: Suc-Ala-Ala-Pro-Ile-pNA 氨基酸个数: 4 分子式: C27H38O9N6 平均分子量: 590.63 精确分子量: 590.27 等电点(P…

阅读更多...

使用MobaXterm tunneling访问集群（服务器）jupyter notebook

使用MobaXterm tunneling访问集群（服务器）jupyter notebook

应用场景想要在本地计算机C上使用高性能服务器上的计算节点运行jupyter notebook相关的代码。高性能服务器上通常只有一个公网ip用于账户登陆管理，但有多个计算节点，需要使用公网IP通过SSH方式登入管理节点A，并使用SSH二次登陆计算节点B&…

阅读更多...

推荐文章

最新文章