About: Seccomp

Property	Value
dbo:abstract	Secure Computing mode, abreviado en seccomp, es una facilidad del kernel Linux que permite limitar las llamadas al sistema que un proceso puede realizar. (es) seccomp (abréviation pour secure computing mode) est une fonctionnalité de sécurité informatique du noyau Linux. (fr) seccomp (short for secure computing mode) is a computer security facility in the Linux kernel. seccomp allows a process to make a one-way transition into a "secure" state where it cannot make any system calls except exit, sigreturn, read and write to already-open file descriptors. Should it attempt any other system calls, the kernel will either just log the event or terminate the process with SIGKILL or SIGSYS. In this sense, it does not virtualize the system's resources but isolates the process from them entirely. seccomp mode is enabled via the <a rel="nofollow" class="external text" href="https://man7.org/linux/man-pages/man2/prctl.2.html">prctl(2)</a> system call using the PR_SET_SECCOMP argument, or (since Linux kernel 3.17) via the <a rel="nofollow" class="external text" href="https://man7.org/linux/man-pages/man2/seccomp.2.html">seccomp(2)</a> system call. seccomp mode used to be enabled by writing to a file, /proc/self/seccomp, but this method was removed in favor of prctl. In some kernel versions, seccomp disables the <a href="/wiki/RDTSC" class="mw-redirect" title="RDTSC">RDTSC</a> x86 instruction, which returns the number of elapsed processor cycles since power-on, used for high-precision timing. seccomp-bpf is an extension to seccomp that allows filtering of system calls using a configurable policy implemented using Berkeley Packet Filter rules. It is used by OpenSSH and vsftpd as well as the Google Chrome/Chromium web browsers on ChromeOS and Linux. (In this regard seccomp-bpf achieves similar functionality, but with more flexibility and higher performance, to the older systrace—which seems to be no longer supported for Linux.) Some consider seccomp comparable to OpenBSD pledge(2) and FreeBSD capsicum(4). (en) seccomp (secure computing mode의 약자)는 리눅스 커널에서 애플리케이션 샌드박싱 메커니즘을 제공하는 컴퓨터 보안 기능이다; 이것은 리눅스 커널 2.6.12부터 통합되었다(2005년 5월 8일에 배포되었다). seccomp은 프로세스가 exit, sigreturn, 그리고 이미 열린 파일 디스크립터에 대한 read, write 를 제외한 어떠한 시스템 호출도 일으킬 수 없는 안전한 상태로 일방향 변환을 할 수 있게 한다. 만약 다른 시스템 호출을 시도한다면, 커널이 SIGKILL로 프로세스를 종료시킨다. 이러한 의미에서 이것은 시스템의 자원을 가상화하는 것이 아니라 프로세스를 고립시키는 것이라고 할 수 있다. seccomp 모드는 PR_SET_SECCOMP 인자를 사용하는<a rel="nofollow" class="external text" href="https://man7.org/linux/man-pages/man2/prctl.2.html">prctl(2)</a> 시스템 호출 또는 리눅스 커널 3.17 이후로는<a rel="nofollow" class="external text" href="https://man7.org/linux/man-pages/man2/seccomp.2.html">seccomp(2)</a> 시스템 호출을 통해 활성화 된다. 전에는 seccomp 모드가 파일 /proc/self/seccomp 에 씀으로써 활성화되었지만 이 메소드는 prctl을 위해 제거되었다. 몇몇 커널 버전에서 seccomp은 RDTSC x86 명령어를 비활성화시킨다. seccomp-bpf는 seccomp의 확장이며 설정 정책을 통한 시스템 호출 필터링을 허용한다. 이것은 오픈SSH와 vsftpd 그리고 크롬 OS와 리눅스의 구글 크롬 웹 브라우저에서 사용된다. (ko) seccomp (сокр. от англ. secure computing mode) — один из механизмов безопасности ядра Linux, который обеспечивает возможность ограничивать набор доступных системных вызовов для приложений, а также с помощью механизма BPF (Berkeley Packet Filter) производить сложную фильтрацию вызовов и их аргументов. Впервые появился в ядре версии 2.6.12 в 2005 году. Для работы с недоверенными или непроверенными, а поэтому потенциально опасными программами желательно использовать специально выделенные среды, из которых нельзя нанести вред работоспособности системы в целом. В таких средах (песочницах, контейнерах) для запускаемых программ лимитированы многие системные возможности, такие как доступ к сети, устройствам ввода-вывода, взаимодействие с операционной системой. Механизм seccomp определяет для процесса набор разрешённых системных вызовов и блокирует те, которые не были заранее объявлены. В настоящее время используется в ряде браузеров, Linux подобных ОС и некоторых системах виртуализации. (ru)
dbo:genre	dbr:Sandbox_(computer_security)
dbo:license	dbr:GNU_General_Public_License
dbo:operatingSystem	dbr:Linux
dbo:programmingLanguage	dbr:C_(programming_language)
dbo:releaseDate	2005-03-08 (xsd:date)
dbo:wikiPageExternalLink	https://lwn.net/Articles/347547/ https://www.kernel.org/doc/Documentation/prctl/seccomp_filter.txt https://web.archive.org/web/20110106145629/http:/chdir.org/~nico/seccomp-nurse/ https://code.google.com/archive/p/seccompsandbox/wikis/overview.wiki https://www.cr0.org/paper/jt-ce-sid_linux.pdf
dbo:wikiPageID	2477946 (xsd:integer)
dbo:wikiPageLength	15879 (xsd:nonNegativeInteger)
dbo:wikiPageRevisionID	1124792112 (xsd:integer)
dbo:wikiPageWikiLink	dbr:QEMU dbr:Berkeley_Packet_Filter dbr:Ubuntu_(operating_system) dbr:Computer_security dbr:ChromeOS dbr:FreeBSD dbr:GNU_General_Public_License dbr:Google dbr:Google_Chrome dbr:Process_isolation dbr:Android_(operating_system) dbr:Android_8.0 dbr:AppArmor dbr:Linus_Torvalds dbr:Linux dbr:Linux_kernel dbr:Linux_namespaces dbr:Snappy_(package_manager) dbr:Subgraph_(operating_system) dbr:Zathura_(document_viewer) dbr:C_(programming_language) dbr:Tor_(anonymity_network) dbr:Vsftpd dbr:Wine_(software) dbr:Adobe_Flash_Player dbr:Firefox dbr:Firefox_OS dbr:Flatpak dbr:Capsicum_(Unix) dbr:Process_(computing) dbr:JPEG dbr:Hypervisor dbc:Linux_kernel_features dbc:Computer_security dbr:Kernel_Virtual_Machine dbr:LWN.net dbr:Systemd dbr:Systrace dbr:Dropbox_(service) dbr:Docker_(software) dbr:Bytecode dbr:File_descriptor dbr:Grid_computing dbr:OpenBSD dbr:OpenSSH dbr:X86 dbr:System_call dbr:Virtual_machine dbr:Sandbox_(computer_security) dbr:Ptrace dbr:SIGKILL dbr:SIGSYS dbr:Chrome_web_browser dbr:Linux_kernel_mainline dbr:Untrusted_code dbr:Firejail
dbp:author	Andrea Arcangeli (en)
dbp:genre	dbr:Sandbox_(computer_security)
dbp:license	dbr:GNU_General_Public_License
dbp:name	seccomp (en)
dbp:operatingSystem	dbr:Linux
dbp:programmingLanguage	dbr:C_(programming_language)
dbp:released	2005-03-08 (xsd:date)
dbp:title	seccomp (en)
dbp:website	https://code.google.com/archive/p/seccompsandbox/wikis/overview.wiki
dbp:wikiPageUsesTemplate	dbt:Citation_needed dbt:Infobox_software dbt:Lowercase_title dbt:Reflist dbt:Short_description dbt:Start_date_and_age dbt:Update dbt:Linux dbt:Linux_kernel dbt:Man
dcterms:subject	dbc:Linux_kernel_features dbc:Computer_security
gold:hypernym	dbr:Facility
rdf:type	owl:Thing dbo:Software schema:CreativeWork dbo:Work wikidata:Q386724 wikidata:Q7397 yago:WikicatLinuxKernelFeatures dbo:ArchitecturalStructure yago:Abstraction100002137 yago:Code106355894 yago:CodingSystem106353757 yago:Cognition100023271 yago:Communication100033020 yago:Concept105835747 yago:Content105809192 yago:Feature105849789 yago:Idea105833840 yago:Property105849040 yago:PsychologicalFeature100023100 yago:Writing106359877 yago:WrittenCommunication106349220 yago:Software106566077
rdfs:comment	Secure Computing mode, abreviado en seccomp, es una facilidad del kernel Linux que permite limitar las llamadas al sistema que un proceso puede realizar. (es) seccomp (abréviation pour secure computing mode) est une fonctionnalité de sécurité informatique du noyau Linux. (fr) seccomp (short for secure computing mode) is a computer security facility in the Linux kernel. seccomp allows a process to make a one-way transition into a "secure" state where it cannot make any system calls except exit, sigreturn, read and write to already-open file descriptors. Should it attempt any other system calls, the kernel will either just log the event or terminate the process with SIGKILL or SIGSYS. In this sense, it does not virtualize the system's resources but isolates the process from them entirely. (en) seccomp (secure computing mode의 약자)는 리눅스 커널에서 애플리케이션 샌드박싱 메커니즘을 제공하는 컴퓨터 보안 기능이다; 이것은 리눅스 커널 2.6.12부터 통합되었다(2005년 5월 8일에 배포되었다). seccomp은 프로세스가 exit, sigreturn, 그리고 이미 열린 파일 디스크립터에 대한 read, write 를 제외한 어떠한 시스템 호출도 일으킬 수 없는 안전한 상태로 일방향 변환을 할 수 있게 한다. 만약 다른 시스템 호출을 시도한다면, 커널이 SIGKILL로 프로세스를 종료시킨다. 이러한 의미에서 이것은 시스템의 자원을 가상화하는 것이 아니라 프로세스를 고립시키는 것이라고 할 수 있다. seccomp-bpf는 seccomp의 확장이며 설정 정책을 통한 시스템 호출 필터링을 허용한다. 이것은 오픈SSH와 vsftpd 그리고 크롬 OS와 리눅스의 구글 크롬 웹 브라우저에서 사용된다. (ko) seccomp (сокр. от англ. secure computing mode) — один из механизмов безопасности ядра Linux, который обеспечивает возможность ограничивать набор доступных системных вызовов для приложений, а также с помощью механизма BPF (Berkeley Packet Filter) производить сложную фильтрацию вызовов и их аргументов. Впервые появился в ядре версии 2.6.12 в 2005 году. (ru)
rdfs:label	Seccomp (es) Seccomp (fr) Seccomp (ko) Seccomp (en) Seccomp (ru)
owl:sameAs	freebase:Seccomp yago-res:Seccomp wikidata:Seccomp dbpedia-es:Seccomp dbpedia-fr:Seccomp dbpedia-ko:Seccomp dbpedia-ru:Seccomp https://global.dbpedia.org/id/4uaYF
prov:wasDerivedFrom	wikipedia-en:Seccomp?oldid=1124792112&ns=0
foaf:homepage	https://code.google.com/archive/p/seccompsandbox/wikis/overview.wiki
foaf:isPrimaryTopicOf	wikipedia-en:Seccomp
foaf:name	seccomp (en)
is dbo:wikiPageRedirects of	dbr:Mbox_(sandbox) dbr:Seccomp-bpf
is dbo:wikiPageWikiLink of	dbr:Ubuntu_version_history dbr:Comparison_of_operating_systems dbr:Google_Chrome dbr:Android_Nougat dbr:Signal_(IPC) dbr:Comparison_of_operating_system_kernels dbr:Zathura_(document_viewer) dbr:ZeroVM dbr:Time_Stamp_Counter dbr:Systrace dbr:Sandbox_(computer_security) dbr:Mbox_(sandbox) dbr:Seccomp-bpf
is foaf:primaryTopic of	wikipedia-en:Seccomp