Skip to content

Syscalls

Rappels

man 2 <syscall> pour avoir les infos

Dans un système Unix, tout est un file descriptor

  • pipe
  • FIFO
  • socket
  • POSIX message queues
  • device
  • inotify instance
  • standard file

Liste

syscall action
write écrit dans un file descriptor
poll, select signale quand un/plusieurs file descriptor sont prêts pour de l'I/O
epoll_create, epoll_ctl, epoll_wait version avancée, linux-specific de poll
accept accept une connection sur un socket

sources

Sécuriser les syscalls

https://training.play-with-docker.com/security-seccomp/

docker info > security info

Seccomp

syscall filter / syscall firewall

règles écrites BPF (Berkeley Packet Filter)

Docker prend l'option --security-opt seccomp=profile.json

  • profile.json -> libseccomp-golang -> BPF
  • whitelist
  • attention il faut bien sur assez de syscalls pour pouvoir démarrer le container!

AppArmor

Diable AppArmor docker run --security-opt apparmor=unconfined

SELinux