Brauner: Seccomp Notifier – новые рубежи в разработке непривилегированных контейнеров

Christian Brauner опубликовал новаторское описание механизма уведомлений seccomp и проблем, которые он призван решить. “Таким образом, из приведенного выше раздела должно быть ясно, что seccomp предоставляет несколько желательных свойств, которые делают его естественным кандидатом для решения проблем mknod (2) и mount (2). Поскольку seccomp перехватывает системные вызовы на ранних этапах пути системных вызовов, это уже дает нам возможность подключиться к пути системных вызовов данной задачи. Однако чего не хватает, так это способа перенести в задачу еще одну задачу, такую ​​как менеджер контейнеров LXD. Каким-то образом нам нужно изменить seccomp таким образом, чтобы диспетчер контейнеров мог не только получать информацию, когда задача внутри контейнера выполняет системный вызов, о котором он хочет получить информацию, но и также позволял сделать блокировку задачи до того, как диспетчер контейнеров укажет ядру на выполнение этой задачи.”

Оригинал статьи

А на этом сегодня все. Надеюсь данная статья будет вам полезна.
Журнал Cyber-X

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *