我有一个现有的程序,我想沙箱使用seccomp (v2)。
我如何才能找到我需要为程序允许哪些seccomp规则?
我已经尝试为strace -xfc a.out
输出的所有syscall添加seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(…), 0)
,但显然这还不够,因为当我使用seccomp运行程序时,仍然收到"SIGSYS,Bad system call“。
发布于 2018-07-02 00:24:44
也许最可靠的方法是将seccomp过滤器切换为返回SECCOMP_RET_TRAP
(“出错时发送可捕获的SIGSYS
”)而不是SECCOMP_RET_KILL
(“用无法捕获的SIGSYS
杀死进程”),然后从信号处理程序打印siginfo_t
,然后自杀。
https://stackoverflow.com/questions/51125005
复制相似问题