如何使用 seccomp 和 prctl syscall 与 bcc 来拦截系统调用?还有另一种方法可以通过密件抄送实现此目标吗?
我知道用 C 语言编写纯 ebpf 代码是可能的,但它太难理解和使用,我想使用 bcc。
答案1
BCC(主要)是关于可观察性的,它将帮助您跟踪和检查系统调用,但不允许您像 seccomp 那样阻止它们。如果这就是您所追求的,eBPF 可以在最新的内核上执行此操作,但您想要搜索基于 eBPF 的 LSM(请参阅有关该主题的内核文档)。
一些额外的提示:
- seccomp 的内核文档。
- https://ebpf.io/更好地理解 eBPF 是什么以及它的作用。