seccomp 标签归档

共 4 篇文章 · 返回首页

【操作系统百科】seccomp-bpf 与 Landlock

2026-06-26 | os | #seccomp #seccomp-bpf #landlock #sandbox #least-privilege

进程自限如何实现最小权限？seccomp strict mode、filter mode（BPF 过滤器）、user notify、Landlock 文件访问控制、syscall user dispatch——本文讲 Linux 的系统调用过滤。

【操作系统百科】内核与用户态的边界：copy_from_user、pin、seccomp、capability

2026-04-17 | os | #boundary #copy-from-user #get-user-pages #pin-user-pages #user-pointer #capability #seccomp #landlock #lsm

内核代码不能像用户代码那样自由访问任何指针。本文围绕 Linux 的 access_ok / copy_from_user / get_user_pages / pin_user_pages / __user 注解，说明用户页在内核视角的生命周期；再把视角扩展到 capability、namespace、seccomp、Landlock、LSM 等软件边界机制，汇成一张内核对用户态信任的全景图。

【从零造容器】Seccomp-BPF 与 Capabilities：容器安全的两道防线

2026-04-08 | linux · containers · security | #seccomp #bpf #capabilities #security #container #syscall #linux-kernel #cap_sys_admin #docker #defense-in-depth

你的容器能调用 reboot()。是的，现在就能。除非有人拦住它。Capabilities 拆分 root 权限，Seccomp-BPF 过滤系统调用——两道防线，缺一不可。本文用 C 代码拆解这两套机制，看看 Docker 到底替你挡住了什么。

【eBPF 系列】eBPF 安全监控：不改内核也能审计 syscall

2026-05-10 | linux · security · ebpf | #ebpf #lsm #seccomp #falco #tetragon #syscall #security #container-security #runtime-security #linux-kernel

Seccomp 只能说 yes or no，但攻击者早就学会了在 yes 里面做文章。是时候让 eBPF 接管安全审计了。