Seccomp 위반 신고

Seccomp 위반 신고

seccomp 바인딩된 프로세스를 실행할 때 일부 로그에서 seccomp 위반이 나타날 것으로 예상됩니다. 일부 온라인 Google 검색에 따르면 이러한 위반 사항은 syslog 또는 audit.log에 보고됩니다. 그러나 그로 인해 프로세스가 종료된다는 것을 알고 있음에도 불구하고 거기에는 표시되지 않습니다. 어딘가에서 활성화해야 하는 기능인가요?

우분투 제니얼 16.04를 사용하고 있습니다.

SCMP_ACT_ERRNO편집: 내가 사용하고 있는 플래그가 로깅을 트리거하지 않는다는 것을 발견했습니다 . 단지 로깅을 트리거할 뿐입니다 SCMP_ACT_KILL.

답변1

두 가지 점:

  • 감사 데몬 패키지가 이미 설치되어 있어야 합니다 auditd.
  • 기본 구성에서는 auditd사용자가 로그인할 때 로그인하는 것 외에는 많은 작업을 수행하지 않습니다.

어느 쪽이든, 당신은해야합니다구성유용하게 만드세요.

추가 자료:

매뉴얼 페이지는 그다지 심층적이지 않기 때문에 추가 페이지를 지적했습니다.

seccomp 자체 구성에 대해 읽을 내용이 많지 않습니다. 다음은 몇 가지 유용한 시작점입니다(seccomp가 무조건 보고하므로 auditd를 구성할 필요가 없다는 설명 포함).

관련 정보