我如何才能找到所有必须被列入seccomp白名单的syscall?
我如何才能找到所有必须被列入seccomp白名单的syscall?
提问于 2018-07-02 00:19:29
我有一个现有的程序,我想沙箱使用seccomp (v2)。
我如何才能找到我需要为程序允许哪些seccomp规则?
我已经尝试为strace -xfc a.out输出的所有syscall添加seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(…), 0),但显然这还不够,因为当我使用seccomp运行程序时,仍然收到"SIGSYS,Bad system call“。
回答 1
Stack Overflow用户
回答已采纳
发布于 2018-07-02 00:24:44
也许最可靠的方法是将seccomp过滤器切换为返回SECCOMP_RET_TRAP (“出错时发送可捕获的SIGSYS”)而不是SECCOMP_RET_KILL (“用无法捕获的SIGSYS杀死进程”),然后从信号处理程序打印siginfo_t,然后自杀。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/51125005
复制相关文章
相似问题