antony@notes:~/container$ cat "Untitled-9.md"
Untitled
# 0928 Seccomp 限制PID,只要process被限制的對象(指令沒有在白名單內),即使大哥root後台很硬也同樣不行。UID也受限
- seccomp (security computing) :第一層防守,保護 System call (其實就是 System Library)(其實就是 SELinux 的一部分)
- 是控制 process 的 syscall , 因此是控制 PID 的權限,所以說甚至是
root也可以做限制!! go的 seccomp 實作: - 透過 go 裡面的 libseccomp-golang 來和 Linux 的 seccomp 溝通
- 使用以上 lib ,位置是在 system lib 的上方,再來控制 seccomp 是否放行
- 接著再使用 go 裡面的
syscall來呼叫 - 在程式語言中的
os lib為 比較高階的syscall,使用 os.Getpid() 時 ,若無權限則回傳 -1