Diferencia entre revisiones de «Seccomp»

Secure Computing mode, abreviado en seccomp, es una facilidad del kernel Linux que permite limitar las llamadas al sistema que un proceso puede realizar.^[1]​

Motivación

Puede ser dañino permitir a un proceso realizar cualquier llamada al sistema.^[2]​ Por ejemplo, si un proceso es comprometido, es habitual que el atacante ejecute código que lance llamadas al sistema que el proceso no lanzaría en una ejecución normal.^[2]​ Por tanto reducir las llamadas al sistema que proceso puede realizar es útil.^[2]​

Modos de funcionamiento

Inicialmente seccomp se propuso como una forma para que un proceso se ejecute de forma que solo se pueden realizar las llamadas al sistema exit(), sigreturn() y sobre ficheros ya abiertos realizar read() y write().^[1]​. Cualquier otra llamada al sistema realizada por el proceso daría como resultado un SIGKILL.^[3]​ Esta forma de operar, llamada el modo restringido, provee un fuerte aislamiento pero es poco útil por ser demasiado limitante.^[1]​ Por eso posteriormente se introdujo el modo filtro de seccomp que introduce flexibilidad permitiendo a los procesos definir la política de filtrado de llamadas del sistema que utiliza y añadir un nuevo programa de filtrado al kernel para aplicarselo.^[1]​^[2]​ Este programa de filtrado es un proograma Berkeley Packet Filter (BPF), similar a los filtros de socket, excepto que los datos operados están relacionados con la llamada al sistema que se está realizando: número de llamada del sistema y argumentos de la llamada al sistema.^[2]​

Referencias

1. Linux Security Modules (LSMs) vs Secure Computing Mode (seccomp). Shaun Ruffell. 18 de marzo de 2020
2. Anatomy of the seccomp. 4 de febrero de 2019
3. A seccomp overview. Jake Edge. 2 de septiembre de 2015