Concept

Seccomp

Résumé
seccomp (abréviation pour secure computing mode) est une fonctionnalité de sécurité informatique du noyau Linux. Elle a été intégrée dans la branche principale du noyau Linux en version 2.6.12, qui est sorti le . Seccomp permet à un processus d'effectuer une transition unidirectionnelle vers un état de sécurité dans lequel il ne peut plus effectuer d'appel système excepté exit(), sigreturn(), read() et write() sur des descripteurs déjà ouverts. Si le processus essaie d'effectuer un autre appel système, le noyau terminera le processus avec le signal SIGKILL ou SIGSYS. Ce mécanisme ne virtualise pas les ressources systèmes mais isole entièrement les processus les uns par rapport aux autres. Le mode seccomp peut être activé via l'appel système prctl en utilisant l'argument PR_SET_SECCOMP, ou (depuis le noyau Linux 3.17) via l'appel système seccomp. Le mode seccomp était auparavant activé en écrivant dans le fichier /proc/self/seccomp, mais cette méthode a été supprimée en faveur de prctl(). Dans certaines versions du noyau, seccomp désactive l'instruction x86 RDTSC, qui retourne le nombre de cycles processeur écoulé depuis la mise sous tension. Utilisée pour la mesure du temps avec une grande précision, cette instruction peut être utilisée comme outil dans des attaques par race condition ou dans des attaques par canal auxiliaire. seccomp-bpf est une extension de seccomp permettant le filtrage des appels système en utilisant une politique de sécurité configurable, implémenté grâce aux règles Berkeley Packet Filter. Elle est utilisée par OpenSSH et vsftpd, mais également par le navigateur web Google Chrome sur Chrome OS et GNU/Linux. (Dans ce cas, seccomp-bpf remplit le même objectif que le plus ancien systrace— qui ne semble plus être maintenu sous Linux). L'un des plus importants projets faisant usage de seccomp est Docker. Docker est un projet open source, principalement soutenu par Docker Inc., qui permet à un logiciel de tourner dans un environnement isole appelé conteneur.
À propos de ce résultat
Cette page est générée automatiquement et peut contenir des informations qui ne sont pas correctes, complètes, à jour ou pertinentes par rapport à votre recherche. Il en va de même pour toutes les autres pages de ce site. Veillez à vérifier les informations auprès des sources officielles de l'EPFL.