Seccomp
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Seccomp, que significa modo de Computación Segura, es una característica de seguridad del núcleo de Linux diseñada para filtrar llamadas al sistema. Restringe los procesos a un conjunto limitado de llamadas al sistema (exit()
, sigreturn()
, read()
, y write()
para descriptores de archivo ya abiertos). Si un proceso intenta llamar a cualquier otra cosa, es terminado por el núcleo usando SIGKILL o SIGSYS. Este mecanismo no virtualiza recursos, sino que aísla el proceso de ellos.
Hay dos formas de activar seccomp: a través de la llamada al sistema prctl(2)
con PR_SET_SECCOMP
, o para núcleos de Linux 3.17 y superiores, la llamada al sistema seccomp(2)
. El método más antiguo de habilitar seccomp escribiendo en /proc/self/seccomp
ha sido desaprobado en favor de prctl()
.
Una mejora, seccomp-bpf, añade la capacidad de filtrar llamadas al sistema con una política personalizable, utilizando reglas de Berkeley Packet Filter (BPF). Esta extensión es aprovechada por software como OpenSSH, vsftpd, y los navegadores Chrome/Chromium en Chrome OS y Linux para un filtrado de llamadas al sistema flexible y eficiente, ofreciendo una alternativa a la ahora no soportada systrace para Linux.
En este modo, Seccomp solo permite las syscalls exit()
, sigreturn()
, read()
y write()
a descriptores de archivo ya abiertos. Si se realiza cualquier otra syscall, el proceso es terminado usando SIGKILL
Este modo permite filtrar llamadas al sistema utilizando una política configurable implementada mediante reglas de Berkeley Packet Filter.
Seccomp-bpf es compatible con Docker para restringir las syscalls de los contenedores, disminuyendo efectivamente el área de superficie. Puedes encontrar las syscalls bloqueadas por defecto en https://docs.docker.com/engine/security/seccomp/ y el perfil seccomp por defecto se puede encontrar aquí https://github.com/moby/moby/blob/master/profiles/seccomp/default.json. Puedes ejecutar un contenedor de docker con una política de seccomp diferente con:
Si quieres, por ejemplo, prohibir que un contenedor ejecute alguna syscall como uname
, podrías descargar el perfil predeterminado de https://github.com/moby/moby/blob/master/profiles/seccomp/default.json y simplemente eliminar la cadena uname
de la lista.
Si quieres asegurarte de que algún binario no funcione dentro de un contenedor docker, podrías usar strace para listar las syscalls que el binario está utilizando y luego prohibirlas.
En el siguiente ejemplo se descubren las syscalls de uname
:
Si estás usando Docker solo para lanzar una aplicación, puedes perfilarla con strace
y solo permitir las syscalls que necesita.
Para ilustrar la función de Seccomp, vamos a crear un perfil de Seccomp deshabilitando la llamada al sistema “chmod” como se muestra a continuación.
En el perfil anterior, hemos establecido la acción predeterminada en "permitir" y creado una lista negra para deshabilitar "chmod". Para ser más seguros, podemos establecer la acción predeterminada en "rechazar" y crear una lista blanca para habilitar selectivamente las llamadas al sistema. La siguiente salida muestra la llamada "chmod" devolviendo un error porque está deshabilitada en el perfil seccomp.
El siguiente output muestra el “docker inspect” mostrando el perfil:
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)