理解Seccomp

最新推荐文章于 2025-12-15 10:13:14 发布
原创 最新推荐文章于 2025-12-15 10:13:14 发布 · 503 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#seccomp

  • Seccomp

    seccomp (short for secure computing mode) is a computer security facility in the Linux kernel.

    seccomp allows a process to make a one-way transition into a “secure” state where it cannot make any system calls exit(), sigreturn(), read(), write() to already open file descriptor.

  • History

    seccomp was first devised by Andrea Arcangeli in January 2005 for use in public grid computing and was originally intended as a means of safely running untrusted compute-bound programs.

    It was merged into the Linux kernel mainline in kernel version 2.6.12, which was released on March 8, 2005.

最低0.47元/天 解锁文章
SECCOMP
SHELLCODE_8BIT的博客
11-15 605
浅谈Linux SECCOMP安全机制在容器中的使用 - 腾讯云开发者社区-腾讯云 (tencent.com)
seccomp学习 (1)
CoLin的pwn小屋
10-30 804
seccomp学习 (1)
seccomp介绍
热门推荐
mashimiao的专栏
06-22 2万+
什么是seccomp seccomp(全称securecomputing mode)是linuxkernel从2.6.23版本开始所支持的一种安全机制。 在Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,
【容器安全必修课】:为什么90%的Docker环境都忽略了Seccomp配置?
LogicGlow的博客
11-24 748
掌握Docker容器安全关键一步:解析Docker容器的Seccomp安全配置与系统调用限制,适用于生产环境加固与权限最小化实践。通过默认策略优化与自定义过滤规则,有效防范潜在攻击。提升容器安全性,值得收藏。
linux3.5 Seccomp
lhj893614438的博客
01-20 305
Seccomp (即“"secure computing”的别名)是2.6.12版本重新加入的简单沙盒机制,用来确保系统调用处于受限状态(仅允许对已打开的文件进行exit, sigreturn, read 和 write操作)。Seccomp现在又增加了新功能:不再是有限并且确定的系统调用,Seccomp现在已经成了一种过滤机制,用来管理一个系统调用是否被禁止(和Berkeley Packet F...
Seccomp
2301_80798825的博客
09-19 742
seccomp是内核中的一种安全机制,正常情况下(没有打开seccomp),程序是可以使用所有的syscall,这是不安全的。ptrctl 和 seccomp 的系统调用分别为157,317;然后要想进行orw,我们得知道open,read,write函数的地址,可以通过libc加上printf函数泄露的函数地址就可以得到libc_base。1.在SECCOMP_MODE_STRICT的模式下,进程只能使用read,write,_exit 和 sigreturn系统调用。seccomp可以通过系统调用。
Linux seccomp机制
、moddemod
06-19 2313
简介 seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如程序劫持程序流后通过execve的syscall来getshell。通过seccomp我们可以在程序中禁用掉某些syscall,这就就算劫持了程序流也只能调用部分的syscall了 演示 正常的系统调用,可以使用所有系统调用 #include<unistd.h> #include<sys/syscall.h> int main() { char * filename =
16、深入理解Seccomp、BPF及其实践应用
最新发布
o9p0q1的博客
12-15 15
本文深入探讨了Seccomp、BPF及其在系统安全与性能监控中的实践应用。介绍了Seccomp如何结合能力机制实现细粒度的系统调用控制,分析了cBPF在Seccomp过滤中的作用及其实现原理,并阐述了BPF LSM钩子对eBPF对象的安全保护机制。同时,以Sysdig为例展示了eBPF在实际场景中的高效数据采集与故障排查能力。最后总结了各项技术的优势,展望了其在云原生环境下的未来发展趋势,并提供了可行的实践建议,帮助开发者构建更安全、高效的系统。
golang-seccomp:为libseccomp进行绑定
05-19
《深入理解Golang-seccomp:为libseccomp库构建安全上下文》 在Linux系统中,安全性是至关重要的,而seccomp(Secure Computing)作为一种强大的安全机制,允许程序限制自己的系统调用行为,从而减少攻击面,提高...
seccomp-tools:CTF沙箱分析与seccomp规则模拟的利器
seccomp-tools项目为安全研究人员、系统开发人员以及对内核级安全机制感兴趣的用户提供了强大的工具集,以分析和理解seccomp沙箱机制。它的易用性和多功能性使其成为分析Linux系统安全问题的重要工具之一。
Linux Seccomp 简介
小立仔
02-27 3048
Linux Seccomp简介,以及其简单的使用。
seccomp-tools:提供用于seccomp分析的强大工具
04-06
Seccomp工具 提供用于seccomp分析的强大工具。 该项目旨在(但不限于)分析CTF pwn挑战中的seccomp沙箱。 某些功能可能是CTF特有的,但对于在实际情况下分析seccomp仍然有用。 特征 转储-自动从执行文件中转储seccomp-bpf。 Disasm-将bpf转换为人类可读的格式。 简单的反编译。 尽可能显示系统调用名称和参数。 丰富多彩的! Asm-编写seccomp规则是如此简单! mu-模拟seccomp规则。 支持多架构。 安装 在RubyGems.org上可用! $ gem install seccomp-tools 如果编译时失败,请尝试: sudo apt install gcc ruby-dev 并再次安装seccomp-tools。 命令行界面 seccomp工具 $ seccomp-tools --help # Usage:
Sandbox的安全机制 —— 使用 seccomp(1)
2301_76223496的博客
04-12 1337
char *argv[] = {“/bin/sh”, NULL};char *envp[] = {NULL};syscall(SYS_execve, filename, argv, envp); // execvereturn 0;}编译gcc -o ban ban.c -l seccomp运行程序songyangji@SongyangJi-Ubuntu-DeskStop:~/桌面$ ./ban错误的系统调用 (核心已转储) # Bad system call (core dumped)api rule根据
【云安全系列】Seccomp—云安全syscall防护利器
Rethinking the Kernel
10-28 5726
本文从 Seccomp 机制出发,在 linux 内核层面介绍了 Seccomp 可以实现的安全能力即对进程的系统调用限制能力。Kubernetes 为我们提供了可以对容器进行系统调用层面保护的接口即 Seccomp 能力。在云原生场景,通过使用 ebpf 的手段获取业务系统调用白名单,通过linux 内核支持的 Seccomp 机制对业务容器进行系统调用维度的防护,进而保证业务容器 syscall 层面的安全。
上手 seccomp
龙瑜的博客
01-21 3021
NAME seccomp - operate on Secure Computing state of the process SYNOPSIS #include <linux/seccomp.h> #include <linux/filter.h> #include <linux/audit.h> #include <linux/signal.h> #include <sys/ptrace.h> int seccomp(unsigned i
详细介绍seccomp
远方雪的专栏
09-09 927
通过这种方式,即使应用程序被攻破,攻击者也只能执行有限的系统调用,从而减少潜在的损害。Seccomp 允许进程进入一种受限的状态,在这种状态下,进程只能执行一组预先定义的系统调用。通过限制可用的系统调用,可以减少潜在的攻击面。然而,正确配置 Seccomp 需要对应用程序的行为有深入的了解,包括它需要调用哪些系统调用,以及这些调用的上下文。Seccomp 有两种模式:seccomp mode 1(也称为 strict mode)和 seccomp mode 2(也称为 filter mode)。
linux安全之seccomp
快乐时光
04-15 4689
介绍 seccomp按照字面意思可以理解为security computing,最早是作用于网格计算,主要通过限制进程的系统调用来完成部分沙箱隔离功能。 通过man prctl可以发现,seccomp的引入是在内核2.6.23,早期的seccomp主要限制read、write、exit以及sigreturn四个系统调用。内核3.5版本引入filter模式,将seccomp分成strict和filter两种。其中strict依旧限制四种系统调用,而filter模式则借助了Berkeley ...
seccomp的学习
凌云俯瞰
04-01 8783
做pwn,用seccomp做沙箱保护很常见。有时候seccomp后面会跟一个结构体,趁此机会学习一把。 1、 简介 seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如劫持程序流后通过execve的syscall来getshell.通过seccomp我们可以在程序中禁用掉某些syscall,这样就算劫持了程序流也只能调用部分的syscall了. 2...
Docker 容器隔离关键技术:Seccomp
pumpkin84514的博客
11-30 1612
它通过限制系统调用的范围,减少攻击面,提升容器的隔离性。尽管默认启用了标准策略,但 Seccomp 可以根据需求进行自定义,进一步加强容器的安全性。是一种内核安全机制,用来限制容器内的程序可以调用哪些系统调用(Syscalls)。通过列清单的方式,Seccomp 可以指定哪些系统调用被允许、被拒绝或需要特殊处理,从而增强容器的安全性。特权容器的权限设计初衷是为了绕过所有安全限制,因此它会自动禁用 Seccomp。由于特权容器拥有宿主机级别的权限,攻击者可以轻易利用容器中的漏洞获取宿主机的控制权。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值