O Que É um Seccomp Filter?
Um seccomp filter é um mecanismo do kernel que limita o conjunto de system calls que um processo tem permissão de invocar, bloqueando ou fazendo trap no resto. Ao permitir apenas as calls de que uma workload legitimamente precisa, ele encolhe a superfície de ataque exposta ao kernel. Container runtimes aplicam perfis seccomp padrão às workloads que iniciam.
Por que isso importa
Perfis seccomp fazem parte de como o CI baseado em containers isola código não confiável do kernel do host. Um perfil excessivamente estrito também pode fazer um build falhar quando ele precisa de um syscall bloqueado.
Guias relacionados
What Is a Linux Capability?A Linux capability is a fine-grained privilege carved out of the all-powerful root account, letting a process…
What Is a Linux Namespace?A Linux namespace gives a group of processes their own isolated view of a system resource, such as process ID…
What Is a Chroot Jail?A chroot jail changes a process apparent root directory so it can only see files under a chosen subtree, prov…