报告 Seccomp 违规行为

报告 Seccomp 违规行为

运行受 seccomp 约束的进程时,我希望在某些日志中看到任何 seccomp 违规。一些在线谷歌搜索显示,这些违规行为被报告到 syslog 或audit.log。然而,尽管我知道进程因它们而死亡,但我没有在那里看到它们。这是需要在某处启用的东西吗?

我使用的是 Ubuntu Xenial 16.04。

编辑:我发现SCMP_ACT_ERRNO我正在使用的标志不会触发日志记录。它只是SCMP_ACT_KILL触发日志记录。

答案1

两点:

  • 您应该已经安装了审核守护程序包auditd
  • 在其默认配置中,auditd除了记录用户登录时之外,没有做太多事情。

无论哪种方式,你都必须配置让它变得有用。

进一步阅读:

手册页并不是很深入,这就是为什么我指出了附加页面。

关于配置 seccomp 本身,没有太多可供阅读的内容。以下是一些有用的起点(其中包括auditd可能不需要配置的评论,因为seccomp是无条件报告的):

相关内容