http://junhoahn.kr/noriwiki/index.php?action=history&feed=atom&title=Seccomp 2026-05-19T11:20:00Z 이 문서의 편집 역사 MediaWiki 1.43.0 http://junhoahn.kr/noriwiki/index.php?title=Seccomp&diff=25&oldid=prev 2023-02-03T06:29:55Z

<p>새 문서: <a href="/noriwiki/index.php?title=%EB%B6%84%EB%A5%98:%EB%A6%AC%EB%88%85%EC%8A%A4_%EC%BB%A4%EB%84%90" title="분류:리눅스 커널">분류: 리눅스 커널</a> <a href="/noriwiki/index.php?title=%EB%B6%84%EB%A5%98:%EA%B0%80%EC%83%81%ED%99%94" title="분류:가상화">분류: 가상화</a> <a href="/noriwiki/index.php?title=%EB%B6%84%EB%A5%98:%EC%9A%B4%EC%98%81%EC%B2%B4%EC%A0%9C_%EA%B8%B0%EB%B0%98_%EB%B3%B4%EC%95%88" title="분류:운영체제 기반 보안">분류: 운영체제 기반 보안</a> == 개요 == seccomp (secure computing mode의 약자)는 리눅스 커널에서 애플리케이션 샌드박싱 메커니즘을 제공하는 컴퓨터 보안 기능이다. seccomp은 프로세스가 exit(), sigreturn(), 그리고 이미 열린 파일 디스크립터에 대한 read(), write() 를 제외한 어떠한 시스템 호출도 일으킬 수 없는 안전한 상태로 일방향...</p> <p><b>새 문서</b></p><div>[[분류: 리눅스 커널]]<br /> [[분류: 가상화]]<br /> [[분류: 운영체제 기반 보안]]<br /> <br /> == 개요 ==<br /> seccomp (secure computing mode의 약자)는 리눅스 커널에서 애플리케이션 샌드박싱 메커니즘을 제공하는 컴퓨터 보안 기능이다. seccomp은 프로세스가 exit(), sigreturn(), 그리고 이미 열린 파일 디스크립터에 대한 read(), write() 를 제외한 어떠한 시스템 호출도 일으킬 수 없는 안전한 상태로 일방향 변환을 할 수 있게 한다. 만약 다른 시스템 호출을 시도한다면, 커널이 SIGKILL로 프로세스를 종료시킨다. 이러한 의미에서 이것은 시스템의 자원을 가상화하는 것이 아니라 프로세스를 고립시키는 것이라고 할 수 있다. 설정은 prctl함수를 통해 바이너리 내부에 적용시킬 수 있으며 PR_SET_SECCOMP상수를 전달함으로써 seccomp를 실행시킬 수 있다. 특히 여기서 SECCOMP_SET_MODE_FILTER를 통해서 [[Berkeley Packet Filter]]를 통해서 어떤 시스템콜을 허용하고 어떤 시스템콜을 deny할지를 필터링 하여 결정할 수 도 있다.<br /> <br /> int prctl(int option, unsigned long arg2, unsigned long arg3, unsigned long arg4, unsigned long arg5);<br /> prctl(PR_SET_SECCOMP, SECCOMP_MODE_STRICT);<br /> == 참고 ==<br /> # https://velog.io/@woounnan/LINUX-Seccomp</div>

Ahn9807