我需要能够分叉一个进程。据我所知，我需要设置security-opt。我尝试使用docker命令进行此操作，并且它运行良好。但是，在docker-compose文件中执行此操作似乎没有任何作用，可能是我没有正确使用compose。 Dockerdocker run --security-op...

在设置了严格模式的seccomp之后如何正确结束程序并返回EXIT_SUCCESS。是否正确的做法是在main函数结束时调用syscall(SYS_exit, EXIT_SUCCESS);？ #include <stdlib.h> #include <unistd.h&gt...

我试图启动Elasticsearch但失败了。我检查了日志并得到以下错误：[...][WARN ][o.e.b.JNANatives ] unable to install syscall filter: java.lang.UnsupportedOperationExcept...

我正在调查seccomp-bpf的实现细节，这是自3.5版以来引入Linux中的系统调用过滤机制。我查看了Linux 3.10内核/seccomp.c的源代码，并想问一些有关此事的问题。 从seccomp.c中可以看出，__secure_computing()会调用seccomp_run_f...

有没有类似于 seccomp在Windows上可用的东西？ 它应该将所有系统调用限制为非常有限的一组，例如仅读取和写入已经打开的文件。 描述为Chromium沙盒的那个看起来不像Seccomp，因为它基于通常的文件权限和Windows安全对象，而不是限制对系统调用的访问。

我开发了一个Linux应用程序，可以运行来自用户（参赛者）的不受信任的代码。更具体地说，该应用程序是一个在线评测系统，类似于UVa OJ、SPOJ和Codeforces，但主要类似于BOCA在线比赛管理员。我的评测系统支持C、C ++、Java和Python。 目前，我的OJ非常不安全，因为...

我正在寻找一个eBPF的示例，用于编写seccomp过滤器，但我找不到任何信息。请问有人能告诉我是否可以使用eBPF来编写seccomp过滤器吗？

我想使用execvp创建子进程并对其进行seccomp限制（只授予读写权限，不包括open）。 为了实现这一点，我必须在调用execvp（也会调用open）之前调用seccomp函数，因此我应该给自己授予execvp和open权限。但这也意味着我给由execvp打开的子进程授予了这些权限。有没...