seccomp, prctl syscall 및 bcc를 사용하여 시스템 호출을 차단하는 방법은 무엇입니까? BCC를 통해 이를 달성할 수 있는 다른 방법이 있습니까?
C로 순수한 ebpf 코드를 작성하는 것이 가능하다는 것을 알고 있지만 이해하고 사용하기가 너무 어렵습니다. bcc를 사용하고 싶습니다.
답변1
BCC는 (주로) 관찰 가능성에 관한 것으로, 시스템 호출을 추적하고 검사하는 데 도움이 되지만 seccomp처럼 차단할 수는 없습니다. 이것이 당신이 원하는 것이라면 eBPF가 최신 커널에서 이 작업을 수행할 수 있지만 eBPF 기반 LSM을 검색하고 싶을 것입니다(참조:주제에 대한 커널 문서).
몇 가지 추가 팁:
- seccomp에 대한 커널 문서.
- https://ebpf.io/eBPF가 무엇이고 어떤 역할을 하는지 더 잘 이해하세요.