seccomp
seccomp
sandbox的典型
内核层面过滤system call
只要过滤器正确注册,就无法从用户进程绕过
这个sandbox非常强,还会结合其他的过滤器作为辅助,以防止意外的解决方案
尽量使用复杂的过滤器
也存在一部分过滤器存在漏洞的题目
只过滤自己的进程,不会影响其他进程
使用seccomp(2) 或者 prctl(2)来注册过滤器
这是一种通过库函数调用的方式,稍微有点...
Continue reading...