seccomp 및 bcc 시스템 호출 차단

seccomp 및 bcc 시스템 호출 차단

seccomp, prctl syscall 및 bcc를 사용하여 시스템 호출을 차단하는 방법은 무엇입니까? BCC를 통해 이를 달성할 수 있는 다른 방법이 있습니까?

C로 순수한 ebpf 코드를 작성하는 것이 가능하다는 것을 알고 있지만 이해하고 사용하기가 너무 어렵습니다. bcc를 사용하고 싶습니다.

답변1

BCC는 (주로) 관찰 가능성에 관한 것으로, 시스템 호출을 추적하고 검사하는 데 도움이 되지만 seccomp처럼 차단할 수는 없습니다. 이것이 당신이 원하는 것이라면 eBPF가 최신 커널에서 이 작업을 수행할 수 있지만 eBPF 기반 LSM을 검색하고 싶을 것입니다(참조:주제에 대한 커널 문서).

몇 가지 추가 팁:

관련 정보