运行受 seccomp 约束的进程时,我希望在某些日志中看到任何 seccomp 违规。一些在线谷歌搜索显示,这些违规行为被报告到 syslog 或audit.log。然而,尽管我知道进程因它们而死亡,但我没有在那里看到它们。这是需要在某处启用的东西吗?
我使用的是 Ubuntu Xenial 16.04。
编辑:我发现SCMP_ACT_ERRNO我正在使用的标志不会触发日志记录。它只是SCMP_ACT_KILL触发日志记录。
答案1
两点:
- 您应该已经安装了审核守护程序包
auditd。 - 在其默认配置中,
auditd除了记录用户登录时之外,没有做太多事情。
无论哪种方式,你都必须配置让它变得有用。
进一步阅读:
手册页并不是很深入,这就是为什么我指出了附加页面。
关于配置 seccomp 本身,没有太多可供阅读的内容。以下是一些有用的起点(其中包括auditd可能不需要配置的评论,因为seccomp是无条件报告的):