linux seccomp使用和原理

linux seccomp使用和原理

概要

1. linux的沙箱机制，可以限制进程对系统调用的访问，从系统调用号，到系统调用的参数，都可以检查和限制
2. 有两种模式
   1. SECCOMP_MODE_STRICT, 进程只能访问read,write,_exit,sigreturn系统调用
   2. SECCOM_MODE_FILTER，通过设置bpf规则，来过滤和检查系统调用号，和系统调用参数，来决定对进程访问系统调用的处理
3. systemd，container都使用seccomp机制来限定对进程的对系统调用的访问权限

参看

1. man seccomp, man prctl