Seccomp Filterとは?
seccomp filterは、プロセスが呼び出せるsystem callの集合を制限し、それ以外をブロックまたはtrapするkernelの仕組みです。workloadが正当に必要とするcallだけを許可することで、kernelにさらされる攻撃面を縮小します。container runtimeは、起動するworkloadにデフォルトのseccompプロファイルを適用します。
なぜ重要か
seccompプロファイルは、containerベースのCIが信頼できないコードをhostのkernelから隔離する仕組みの一部です。厳しすぎるプロファイルは、buildがブロックされたsyscallを必要とするときに失敗させることもあります。
関連ガイド
What Is a Linux Capability?A Linux capability is a fine-grained privilege carved out of the all-powerful root account, letting a process…
What Is a Linux Namespace?A Linux namespace gives a group of processes their own isolated view of a system resource, such as process ID…
What Is a Chroot Jail?A chroot jail changes a process apparent root directory so it can only see files under a chosen subtree, prov…