如何将 seccomp 规则添加到特定进程?
How to add seccomp rules to a secific process?
我在设计一个判断系统,启动一个新进程,然后限制新进程的cpu时间和内存使用
为了安全起见,新进程不允许进行一些系统调用,如fork、clone等。
我尝试使用libseccomp来限制系统调用,但是我不知道如何为特定进程设置规则。如果我在判断进程中设置规则,加载规则后,判断进程也被限制为调用这些系统调用,那么我不能fork和execv新进程。
现在我得到答案了,seccomp还可以加上参数限制,比如execve的第一个参数必须是具体路径
完整代码在github
我在设计一个判断系统,启动一个新进程,然后限制新进程的cpu时间和内存使用
为了安全起见,新进程不允许进行一些系统调用,如fork、clone等。
我尝试使用libseccomp来限制系统调用,但是我不知道如何为特定进程设置规则。如果我在判断进程中设置规则,加载规则后,判断进程也被限制为调用这些系统调用,那么我不能fork和execv新进程。
现在我得到答案了,seccomp还可以加上参数限制,比如execve的第一个参数必须是具体路径
完整代码在github