Eu gostaria de executar um programa no systemd com o SecComp ativado, mas só receber aviso nos logs quando as chamadas dos sistemas filtrados forem feitas pelo programa (ou suas bibliotecas). Nota:
ptrace para saber qual sistema chama meu programa requer. (Esse não é o ponto da minha pergunta) SystemCallErrorNumber=RET_KILL , o programa termina corretamente, a menos que eu filtre a chamada do sistema, como esperado. Eu tentei definir SystemCallErrorNumber para EPERM , EACCES . Mas:
clone foi chamado. Talvez isso seja possível com uma regra auditd ? brk , o programa terminará com error while loading shared libraries: libc.so.6: cannot open shared object file: Operation not permitted ?!