Reportando violações do Seccomp

2

Ao executar processos restritos por seccomp, gostaria de ver quaisquer violações de seccomp em alguns logs. Algumas pesquisas online mostram que essas violações são relatadas para syslog ou audit.log. No entanto, eu não os vejo lá, embora eu saiba dos processos que morrem devido a eles. Isso é algo que precisa ser ativado em algum lugar?

Estou usando o Ubuntu Xenial 16.04.

EDIT: Descobri que SCMP_ACT_ERRNO , o sinalizador que estava usando, não aciona o log. É apenas SCMP_ACT_KILL que aciona o registro.

    
por r.v 12.08.2016 / 18:25

1 resposta

1

Dois pontos:

  • você deve ter instalado o pacote do daemon de auditoria, auditd .
  • em sua configuração padrão auditd não faz muito, exceto o registro quando os usuários fazem login.

De qualquer forma, você terá que configurar para torná-lo útil.

Leitura adicional:

A página de manual não é muito profunda, e é por isso que apontei para as páginas adicionais.

Não há muito disponível para ler sobre a configuração do próprio seccomp. Aqui estão alguns pontos de partida úteis (que incluem comentários que auditd pode não precisar de configuração porque seccomp é relatado incondicionalmente):

por 12.08.2016 / 19:27