seccomp

什么是seccomp
seccomp(全称securecomputing mode)是linuxkernel从2.6.23版本开始所支持的一种安全机制。



在Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,同时是程序进入一种“安全”的状态。



详细介绍可参考seccomp内核文档。
https://www.kernel.org/doc/Documentation/prctl/seccomp_filter.txt
http://ist.saif.sjtu.edu.cn/Security/data
https://www.kernel.org/doc/html/latest/userspace-api/seccomp_filter.html
https://www.maximintegrated.com/en/markets/computing/secure-computing.html

如何使用seccomp
seccomp可以通过系统调用ptrctl(2)或者通过系统调用seccomp(2)开启,前提是内核配置中开启了CONFIG_SECCOMP和CONFIG_SECCOMP_FILTER。



seccomp支持两种模式:SECCOMP_MODE_STRICT和SECCOMP_MODE_FILTER。在SECCOMP_MODE_STRICT模式下,进程不能使用read(2),write(2),_exit(2)和sigreturn(2)以外的其他系统调用。在SECCOMP_MODE_FILTER模式下,可以利用BerkeleyPacket Filter配置哪些系统调用及它们的参数可以被进程使用。



如何查看是否使用了seccomp
通常有两种方法:



利用prctl(2)的PR_GET_SECCOMP的参数获取当前进程的seccomp状态。返回值0表示没有使用seccomp;返回值2表示使用了seccomp并处于SECCOMP_MODE_FILTER模式;其他情况进程会被SIGKILL信号杀死。



从Linux3.8开始,可以利用/proc/[pid]/status中的Seccomp字段查看。如果没有seccomp字段,说明内核不支持seccomp。


Category linux