linux能力与seccomp的区别

Question

我知道seccomp (安全计算)是一种限制进程进行特定系统调用的方法。

而linux功能提供了一种将特权授予特定用户或进程的方法。

因此，如果我想禁止进程进行原始网络连接。我可以放弃该进程的NET_RAW linux功能，或者使用seccomp限制该进程进行与原始网络相关的系统调用。

我想知道linux功能和seccomp之间的确切区别。

另外，是linux功能在内部使用seccomp，还是相反，还是两者完全不同？

Answer 1

Seccomp基本上是linux系统上的防火墙，作为一般概念，您可以将它们看作一组syscalls。请记住，seccomp很难配置，因为您需要深入了解应用程序的syscall，有时这很难，但是，如果您想要限制用于create的syscall(基本上是sys_socket)，并检查参数以查看是否是原始套接字，那么可以在seccomp上以及在功能上这样做。