seccomp介绍

最新推荐文章于 2025-11-24 17:39:51 发布
原创 最新推荐文章于 2025-11-24 17:39:51 发布 · 2.1w 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#seccomp #linux #kernel #secure

seccomp是一种自Linux 2.6.23版本起支持的安全机制,用于限制程序使用特定的系统调用,从而降低系统风险。本文介绍了seccomp的工作原理,包括其两种模式:SECCOMP_MODE_STRICT和SECCOMP_MODE_FILTER,以及如何启用和检查seccomp的状态。

什么是seccomp

seccomp(全称securecomputing mode)是linuxkernel2.6.23版本开始所支持的一种安全机制。

Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,同时是程序进入一种“安全”的状态。

详细介绍可参考seccomp内核文档


如何使用seccomp

seccomp可以通过系统调用ptrctl(2)或者通过系统调用seccomp(2)开启,前提是内核配置中开启了CONFIG_SECCOMPCONFIG_SECCOMP_FILTER

seccomp支持两种模式:SECCOMP_MODE_STRICTSECCOMP_MODE_FILTER。在SECCOMP_MODE_STRICT模式下,进程不能使用read(2)write(2)_exit(2)sigreturn(2)以外的其他系统调用。在SECCOMP_MODE_FILTER模式下,可以利用BerkeleyPacket Filter配置哪些系统调用及它们的参数可以被进程使用。


如何查看是否使用了seccomp

通常有两种方法:

  1. 利用prctl(2)PR_GET_SECCOMP的参数获取当前进程的seccomp状态。返回值0表示没有使用seccomp;返回值2表示使用了seccomp并处于SECCOMP_MODE_FILTER模式;其他情况进程会被SIGKILL信号杀死。

  2. Linux3.8开始,可以利用/proc/[pid]/status中的Seccomp字段查看。如果没有seccomp字段,说明内核不支持seccomp

LINUX SECCOMP模块介绍
SHELLCODE_8BIT的博客
11-22 3242
Seccomp是 "secure computing" 的 缩写。Linux内核2.6.12版本(2005年3月8日)引入。是linux一个安全模块,用于限制程序系统调用;我们来看下例子。
SECCOMP
SHELLCODE_8BIT的博客
11-15 603
浅谈Linux SECCOMP安全机制在容器中的使用 - 腾讯云开发者社区-腾讯云 (tencent.com)
Sandbox的安全机制 —— 使用 seccomp
SongyangJi
12-10 5933
2021SC@SDUSC
【容器安全必修课】:为什么90%的Docker环境都忽略了Seccomp配置?
最新发布
LogicGlow的博客
11-24 747
掌握Docker容器安全关键一步:解析Docker容器的Seccomp安全配置与系统调用限制,适用于生产环境加固与权限最小化实践。通过默认策略优化与自定义过滤规则,有效防范潜在攻击。提升容器安全性,值得收藏。
linux 安全系列目录 - seccomp安全模块问题排查
热门推荐
yushuoqi的博客
11-03 2万+
seccomp是一种Linux内核特性,允许限制进程可以执行的系统调用,以增加应用程序的安全性。总的来说,libseccomp是一个强大的工具,可用于在Linux系统上实施安全策略,并限制应用程序的系统调用。
Seccomp BPF 详细解析
x646602196的博客
04-13 2718
Secommp (SECure COMPuting) 是 Linux 内核 2.6.12 版本引入的安全模块,主要是用来限制某一进程可用的系统调用 (system call)。它最初被用于 cpushare 这个项目,让人们可以出租自己空闲的 cpu cycle 来执行 untrusted code。这个 feature 本身并不是一个沙盒 (sandbox),它只是一种减少 Linux 内核暴露的机制,是构建一个安全的沙盒的重要组成部分。
linux3.5 Seccomp
lhj893614438的博客
01-20 305
Seccomp (即“"secure computing”的别名)是2.6.12版本重新加入的简单沙盒机制,用来确保系统调用处于受限状态(仅允许对已打开的文件进行exit, sigreturn, read 和 write操作)。Seccomp现在又增加了新功能:不再是有限并且确定的系统调用,Seccomp现在已经成了一种过滤机制,用来管理一个系统调用是否被禁止(和Berkeley Packet F...
Seccomp
2301_80798825的博客
09-19 739
seccomp是内核中的一种安全机制,正常情况下(没有打开seccomp),程序是可以使用所有的syscall,这是不安全的。ptrctl 和 seccomp 的系统调用分别为157,317;然后要想进行orw,我们得知道open,read,write函数的地址,可以通过libc加上printf函数泄露的函数地址就可以得到libc_base。1.在SECCOMP_MODE_STRICT的模式下,进程只能使用read,write,_exit 和 sigreturn系统调用。seccomp可以通过系统调用。
鸿蒙实战开发(5.0)Seccomp策略机制开发规范化
qazwsx957486的博客
09-24 1325
Seccomp策略以策略文件的形式存在。在编译构建时,首先相关脚本解析策略文件来生成含BPF指令策略的源文件,然后编译成策略动态库。最后,用户态进程启动过程中,使用Seccomp系统调用将BPF指令策略加载到内核中。
linux安全之seccomp
快乐时光
04-15 4687
介绍 seccomp按照字面意思可以理解为security computing,最早是作用于网格计算,主要通过限制进程的系统调用来完成部分沙箱隔离功能。 通过man prctl可以发现,seccomp的引入是在内核2.6.23,早期的seccomp主要限制read、write、exit以及sigreturn四个系统调用。内核3.5版本引入filter模式,将seccomp分成strict和filter两种。其中strict依旧限制四种系统调用,而filter模式则借助了Berkeley ...
seccomp学习 (2)
CoLin的pwn小屋
11-03 2577
seccomp学习 (2)
5、Docker安全:seccomp、代理与攻击面最小化
c6d7e8f9g的博客
09-03 36
本文探讨了如何通过seccomp、Docker代理和攻击面最小化等技术提升Docker容器的安全性。详细介绍seccomp的原理与使用方法,Docker中集成seccomp的配置方式,Docker代理的实现逻辑,以及如何通过最小基础镜像减少容器的攻击面。结合示例代码和操作步骤,为构建更安全的容器化应用提供了实践指导。
seccomp-tools:提供用于seccomp分析的强大工具
04-06
Seccomp工具 提供用于seccomp分析的强大工具。 该项目旨在(但不限于)分析CTF pwn挑战中的seccomp沙箱。 某些功能可能是CTF特有的,但对于在实际情况下分析seccomp仍然有用。 特征 转储-自动从执行文件中转储seccomp-bpf。 Disasm-将bpf转换为人类可读的格式。 简单的反编译。 尽可能显示系统调用名称和参数。 丰富多彩的! Asm-编写seccomp规则是如此简单! mu-模拟seccomp规则。 支持多架构。 安装 在RubyGems.org上可用! $ gem install seccomp-tools 如果编译时失败,请尝试: sudo apt install gcc ruby-dev 并再次安装seccomp-tools。 命令行界面 seccomp工具 $ seccomp-tools --help # Usage:
【云安全系列】Seccomp—云安全syscall防护利器
Rethinking the Kernel
10-28 5723
本文从 Seccomp 机制出发,在 linux 内核层面介绍Seccomp 可以实现的安全能力即对进程的系统调用限制能力。Kubernetes 为我们提供了可以对容器进行系统调用层面保护的接口即 Seccomp 能力。在云原生场景,通过使用 ebpf 的手段获取业务系统调用白名单,通过linux 内核支持的 Seccomp 机制对业务容器进行系统调用维度的防护,进而保证业务容器 syscall 层面的安全。
Sandbox的安全机制 —— 使用 seccomp(1)
2301_76223496的博客
04-12 1336
char *argv[] = {“/bin/sh”, NULL};char *envp[] = {NULL};syscall(SYS_execve, filename, argv, envp); // execvereturn 0;}编译gcc -o ban ban.c -l seccomp运行程序songyangji@SongyangJi-Ubuntu-DeskStop:~/桌面$ ./ban错误的系统调用 (核心已转储) # Bad system call (core dumped)api rule根据
上手 seccomp
龙瑜的博客
01-21 3016
NAME seccomp - operate on Secure Computing state of the process SYNOPSIS #include <linux/seccomp.h> #include <linux/filter.h> #include <linux/audit.h> #include <linux/signal.h> #include <sys/ptrace.h> int seccomp(unsigned i
Linux seccomp机制
、moddemod
06-19 2311
简介 seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如程序劫持程序流后通过execve的syscall来getshell。通过seccomp我们可以在程序中禁用掉某些syscall,这就就算劫持了程序流也只能调用部分的syscall了 演示 正常的系统调用,可以使用所有系统调用 #include<unistd.h> #include<sys/syscall.h> int main() { char * filename =
Linux Seccomp 简介
小立仔
02-27 3044
Linux Seccomp简介,以及其简单的使用。
理解Seccomp
漫步量化
12-25 502
Seccomp seccomp (short for secure computing mode) is a computer security facility in the Linux kernel. seccomp allows a process to make a one-way transition into a “secure” state where it cannot make any system calls exit(), sigreturn(), read(), write() ..
Seccomp安全设置
10-17
<think>我们正在讨论Kubernetes中的Seccomp安全设置。根据引用内容,Seccomp(安全计算模式)是Linux内核的特性,它通过限制容器可以执行的系统调用来增强安全性。在Kubernetes中,我们可以为Pod或容器配置seccomp配置文件,以减少攻击面并防止权限提升攻击。 引用内容摘要: [^1]: Seccomp的作用包括粒度控制、权限提升缓解、处理不受信任的输入、合规性和实时监控。 [^2]: Kubernetes中可以通过将预先加载到节点上的seccomp配置文件应用到Pod和容器。 [^3]: Kubernetes安全最佳实践中提到使用Security Context配置安全设置(包括seccomp)。 [^4]: 检查系统内核是否开启seccomp功能的方法。 [^5]: 展示了seccomp配置文件的结构和如何在Pod中应用。 下面我将分步骤介绍如何在Kubernetes中配置Seccomp。 ### 步骤1:确保节点内核支持Seccomp 在节点上执行以下命令检查内核是否支持Seccomp: ```bash grep SECCOMP /boot/config-$(uname -r) ``` 输出应包含: ``` CONFIG_HAVE_ARCH_SECCOMP_FILTER=y CONFIG_SECCOMP_FILTER=y CONFIG_SECCOMP=y ``` ### 步骤2:创建Seccomp配置文件 Seccomp配置文件是一个JSON文件,定义允许或禁止的系统调用。例如,禁止`chmod`系统调用的配置文件`chmod.json`: ```json { "defaultAction": "SCMP_ACT_ALLOW", "syscalls": [ { "names": [ "chmod" ], "action": "SCMP_ACT_ERRNO" } ] } ``` 此配置默认允许所有系统调用,但禁止`chmod`(返回错误)。 ### 步骤3:将配置文件放置到节点 将配置文件放置到每个节点的`/var/lib/kubelet/seccomp/`目录(默认路径)下,例如`/var/lib/kubelet/seccomp/chmod.json`。 ### 步骤4:在Pod中引用Seccomp配置文件 在Pod的securityContext中指定seccompProfile: ```yaml apiVersion: v1 kind: Pod metadata: name: test-seccomp spec: containers: - name: test-container image: busybox:1.30 command: [ "sh", "-c", "sleep 1h" ] securityContext: seccompProfile: type: Localhost localhostProfile: chmod.json # 相对于节点seccomp目录的路径 nodeName: node1 # 如果配置文件只放在node1上,则指定节点 ``` ### 步骤5:验证 创建Pod后,尝试在容器内执行被禁止的系统调用(例如`chmod`): ```bash kubectl exec test-seccomp -- chmod 777 /tmp ``` 预期输出:`chmod: /tmp: Operation not permitted` ### Seccomp配置类型 - `RuntimeDefault`:使用容器运行时默认的seccomp配置文件(通常是允许大部分系统调用,但限制一些危险的)。 - `Localhost`:使用节点本地配置文件,路径相对于`/var/lib/kubelet/seccomp`。 - `Unconfined`:不使用seccomp配置文件(不推荐)。 ### 最佳实践[^3] 1. **最小权限原则**:只允许容器运行所必需的系统调用。 2. **使用RuntimeDefault**:如果不知道如何配置,可以先使用`RuntimeDefault`。 3. **自定义配置文件**:使用工具如`audit2allow`(来自SELinux)或`libseccomp`工具分析并生成配置文件。 例如,使用`RuntimeDefault`: ```yaml securityContext: seccompProfile: type: RuntimeDefault ``` ### 注意事项 - 需要将配置文件放置在每个工作节点上。 - 在Kubernetes 1.19之前,seccomp配置通过annotation设置(已弃用)。 - 使用`Localhost`时,配置文件名不能包含`..`,不能是绝对路径。 ### 相关问题 §§相关问题§§ 1. 如何对容器进行系统调用审计以生成seccomp配置文件? 2. 在Kubernetes中如何为整个命名空间或集群设置默认的seccomp配置? 3. 使用Seccomp时,如何处理容器因权限不足而启动失败的问题? 4. 如何验证一个seccomp配置文件是否有效? 5. Kubernetes中Seccomp与AppArmor有何区别? 通过以上步骤,您可以在Kubernetes中为Pod或容器配置Seccomp,从而增强容器的安全性。 </think>以下是关于 Kubernetes 中 Seccomp 安全设置的详细说明,结合引用内容的核心要点和实践步骤: ### 一、Seccomp 核心机制 SeccompSecure Computing Mode)是 Linux 内核的安全特性,通过限制容器可执行的**系统调用**(syscalls)来增强安全性: 1. **攻击面缩减** 默认容器可调用 300+ 系统调用,Seccomp 仅允许必要调用(如网络、文件基础操作)[^1] 2. **权限提升防护** 阻止 `clone()`、`setuid()` 等危险调用,阻断容器逃逸路径[^1] 3. **合规性支持** 满足 PCI-DSS、NIST 等安全标准要求[^1][^3] > 内核支持检查: > ```bash > grep SECCOMP /boot/config-$(uname -r) > # 输出应含 CONFIG_SECCOMP=y 和 CONFIG_SECCOMP_FILTER=y[^4] > ``` ### 二、Kubernetes 配置实践 #### 步骤 1:创建 Seccomp 配置文件 ```json // block-chmod.json { "defaultAction": "SCMP_ACT_ALLOW", // 默认允许所有调用 "syscalls": [ { "names": ["chmod", "fchmod", "fchmodat"], // 禁止修改权限 "action": "SCMP_ACT_ERRNO", // 拦截并返回错误 "errnoRet": 1 // EPERM 错误码[^5] } ] } ``` #### 步骤 2:部署配置文件至节点 ```bash # 在集群每个节点创建目录 sudo mkdir -p /var/lib/kubelet/seccomp/profiles # 复制配置文件 sudo cp block-chmod.json /var/lib/kubelet/seccomp/profiles/ ``` #### 步骤 3:Pod 中启用 Seccomp ```yaml apiVersion: v1 kind: Pod metadata: name: secured-app spec: containers: - name: app image: nginx:1.25 securityContext: seccompProfile: type: Localhost # 使用节点本地配置 localhostProfile: profiles/block-chmod.json # 配置文件路径[^5] nodeSelector: kubernetes.io/os: linux # 确保运行在Linux节点 ``` ### 三、关键安全实践 1. **配置文件策略** - **白名单模式**(更安全): ```json {"defaultAction":"SCMP_ACT_ERRNO", "syscalls":[{"names":["read","write"],"action":"SCMP_ACT_ALLOW"}]} ``` - **黑名单模式**(更易实现): 如上例禁止特定调用[^5] 2. **运行时监控** 通过审计日志实时检测违规调用: ```bash # 查看被拦截的系统调用 journalctl -k | grep seccomp ``` 3. **与 SecurityContext 集成** 结合其他安全配置强化容器: ```yaml securityContext: readOnlyRootFilesystem: true # 文件系统只读 allowPrivilegeEscalation: false # 禁止权限提升 capabilities: drop: ["ALL"] # 删除所有Linux Capabilities[^3] ``` ### 四、验证与测试 1. **配置生效检查**: ```bash kubectl exec secured-app -- chmod 777 /tmp # 预期输出:chmod: changing permissions: Operation not permitted ``` 2. **调用权限测试**: ```bash kubectl exec secured-app -- strace -e trace=chmod touch /tmp/test # 应显示 chmod 调用返回 EPERM 错误 ``` ### 五、生产环境最佳实践 1. **渐进式实施** 先用 `RuntimeDefault`(容器运行时默认配置),逐步定制白名单 ```yaml seccompProfile: type: RuntimeDefault # 使用Docker/Containerd的默认配置[^3] ``` 2. **集群级策略** 通过 PodSecurityPolicy 或 Kyverno 强制集群范围启用: ```yaml # Kyverno 策略示例 apiVersion: kyverno.io/v1 kind: ClusterPolicy metadata: name: require-seccomp spec: rules: - match: { resources: { kinds: [Pod] } } validate: message: "All pods must have seccompProfile" pattern: spec: securityContext: seccompProfile: {} ``` 3. **配置文件管理** 使用 ConfigMap 或 GitOps 工具统一管理配置文件: ```yaml volumes: - name: seccomp-profiles configMap: name: seccomp-profiles volumeMounts: - mountPath: /var/lib/kubelet/seccomp/profiles/ name: seccomp-profiles ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值