seccomp (lyhenne sanoista secure computing) on Linux-ytimen mekanismi rajoittaa prosessille saatavilla olevia järjestelmäkutsuja. Menetelmä asettaa ytimeen suodattimen ytimeen tuleville kutsuille. Suodatin voidaan määrittää Berkeley Packet Filter (BPF) -ominaisuuden avulla.[1][2][3] Säiliöinti eli käyttöjärjestelmätason virtualisointi voi käyttää seccomp-ominaisuutta muiden menetelmien ohella.[4][5] Ensimmäinen versio seccompista lisättiin Linuxin ytimeen vuonna 2005 versiossa 2.6.12.[6]

Lähteet

muokkaa
  1. SECure COMPuting with filters kernel.org. Viitattu 11.2.2024. (englanniksi)
  2. Jonathan Corbet: Constant-action bitmaps for seccomp() lwn.net. 22.10.2020. Viitattu 11.2.2024. (englanniksi)
  3. seccomp(2) manned.org. Viitattu 11.2.2024. (englanniksi)
  4. Antoine Beaupré: Demystifying container runtimes lwn.net. 20.12.2017. Viitattu 11.2.2024. (englanniksi)
  5. Chapter 8. Linux Capabilities and Seccomp access.redhat.com. Viitattu 11.2.2024. (englanniksi)
  6. Jake Edge: A seccomp overview lwn.net. 2.9.2015. Viitattu 11.2.2024. (englanniksi)