我可以在lxc repo README中看到一个简单的例子:
lxc.seccomp = /var/lib/lxc/q1/seccomp.full
使用一些命令来用白名单填充文件(据称)允许一切。
是否有任何文档说明您可以使用该 seccomp 配置做什么(特别是在这种情况下使用 LXC)。我似乎找不到关于 seccomp 和 LXC 的可见文档。
AskOverflow.Dev
我可以在lxc repo README中看到一个简单的例子:
lxc.seccomp = /var/lib/lxc/q1/seccomp.full
使用一些命令来用白名单填充文件(据称)允许一切。
是否有任何文档说明您可以使用该 seccomp 配置做什么(特别是在这种情况下使用 LXC)。我似乎找不到关于 seccomp 和 LXC 的可见文档。
查看配置解析器源,似乎 lxc 仅支持允许的系统调用号码的白名单。Seccomp支持验证系统调用的参数,但配置格式不提供任何表达方式。
系统调用: http ://docs.cs.up.ac.za/programming/asm/derick_tut/syscalls.html