seccomp

seccomp はシステムコールとその引数を制限する仕組みです。
例えば Docker では次のような seccomp プロファイルを与えることで mkdir を禁止するコンテナを作成できます。

$ cat seccomp.json
{
  "defaultAction": "SCMP_ACT_ALLOW",
  "syscalls": [
    {
      "name": "mkdir",
      "action": "SCMP_ACT_ERRNO"
    }
  ]
}

$ docker run --rm -it --security-opt seccomp=seccomp.json ubuntu:20.04 bash
root@ab9ad7d57f7f:/# mkdir /tmp/test
mkdir: cannot create directory '/tmp/test': Operation not permitted

Capability と同様に seccomp も Docker にはデフォルトプロファイルが存在します。1
Capability と併用することで、もし Capability を破られて特権が必要なシステムコールが呼び出されても seccomp で防ぐことができます。


1 https://docs.docker.com/engine/security/seccomp/ "Significant syscalls blocked by the default profile / docker docs"

results matching ""

    No results matching ""