报告Seccomp违规行为
报告Seccomp违规行为
提问于 2016-08-12 16:25:01
在运行受seccomp约束的进程时,我希望在某些日志中看到任何seccomp违规行为。一些在线搜索显示,这些违规行为要么向syslog报告,要么向audit.log报告。然而,我没有看到他们在那里,即使我知道的过程,因为他们死亡。这是某个地方需要启用的东西吗?
我正在使用16.04。
编辑:我发现我使用的标志SCMP_ACT_ERRNO不会触发日志记录。只有SCMP_ACT_KILL才会触发日志记录。
回答 1
Unix & Linux用户
回答已采纳
发布于 2016-08-12 17:27:58
两点:
- 您应该已经安装了审核守护程序包
auditd。 - 在它的默认配置中,除了记录用户登录时,
auditd不会做太多事情。
无论哪种方式,您都必须配置它以使其有用。
进一步读:
- 审计守护进程
- 简单的例子--审计配置?
- Linux服务器上的安全审计工具
- 使用审计守护进程配置和审计Linux系统
手册页面不太深入,这就是我指出其他页面的原因。
关于配置seccomp本身,没有太多可供阅读的内容。以下是一些有用的起点(包括由于无条件地报告seccomp,auditd可能不需要配置的注释):
页面原文内容由Unix & Linux提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://unix.stackexchange.com/questions/303061
复制相关文章
相似问题
腾讯云开发者
