Skip to content

antony@notes:~/container$ cat "Untitled-9.md"

Untitled

2021-10-24· container ·Docker

# 0928 Seccomp 限制PID,只要process被限制的對象(指令沒有在白名單內),即使大哥root後台很硬也同樣不行。UID也受限

  • seccomp (security computing) :第一層防守,保護 System call (其實就是 System Library)(其實就是 SELinux 的一部分)
  • 是控制 process 的 syscall , 因此是控制 PID 的權限,所以說甚至是 root 也可以做限制!! go的 seccomp 實作:
  • 透過 go 裡面的 libseccomp-golang 來和 Linux 的 seccomp 溝通
  • 使用以上 lib ,位置是在 system lib 的上方,再來控制 seccomp 是否放行
  • 接著再使用 go 裡面的 syscall 來呼叫
  • 在程式語言中的 os lib 為 比較高階的syscall ,使用 os.Getpid() 時 ,若無權限則回傳 -1
tags: Docker