Seccomp
Βασικές Πληροφορίες
Το Seccomp, που σημαίνει Secure Computing mode, είναι μια λειτουργία ασφαλείας του πυρήνα του Linux που σχεδιάστηκε για το φιλτράρισμα των κλήσεων συστήματος. Περιορίζει τις διεργασίες σε έναν περιορισμένο σύνολο κλήσεων συστήματος (exit()
, sigreturn()
, read()
και write()
) για ήδη ανοιχτά περιγραφέα αρχείων. Εάν μια διεργασία προσπαθήσει να καλέσει οτιδήποτε άλλο, τότε τερματίζεται από τον πυρήνα χρησιμοποιώντας το SIGKILL ή το SIGSYS. Αυτός ο μηχανισμός δεν εικονοποιεί τους πόρους αλλά απομονώνει τη διεργασία από αυτούς.
Υπάρχουν δύο τρόποι για να ενεργοποιηθεί το seccomp: μέσω της κλήσης συστήματος prctl(2)
με το PR_SET_SECCOMP
, ή για πυρήνες Linux 3.17 και νεότερους, μέσω της κλήσης συστήματος seccomp(2)
. Η παλαιότερη μέθοδος ενεργοποίησης του seccomp με την εγγραφή στο /proc/self/seccomp
έχει αποσυρθεί υπέρ της prctl()
.
Μια βελτίωση, το seccomp-bpf, προσθέτει τη δυνατότητα φιλτραρίσματος των κλήσεων συστήματος με ένα προσαρμόσιμο πολιτική, χρησιμοποιώντας κανόνες Berkeley Packet Filter (BPF). Αυτή η επέκταση χρησιμοποιείται από λογισμικό όπως το OpenSSH, το vsftpd και οι περιηγητές Chrome/Chromium σε Chrome OS και Linux για ευέλικτο και αποδοτικό φιλτράρισμα κλήσεων συστήματος, προσφέροντας μια εναλλακτική λύση στο πλέον μη υποστηριζόμενο systrace για το Linux.
Αρχική/Αυστηρή Λειτουργία
Σε αυτή τη λειτουργία, το Seccomp επιτρέπει μόνο τις κλήσεις συστήματος exit()
, sigreturn()
, read()
και write()
για ήδη ανοιχτά περιγραφέα αρχείων. Εάν γίνει οποιαδήποτε άλλη κλήση συστήματος, η διεργασία τερματίζεται χρησιμοποιώντας το SIGKILL.
Seccomp-bpf
Αυτή η λειτουργία επιτρέπει το φιλτράρισμα των κλήσεων συστήματος χρησιμοποιώντας μια παραμετροποιήσιμη πολιτική που υλοποιείται χρησιμοποιώντας κανόνες Berkeley Packet Filter.
Seccomp στο Docker
Το Seccomp-bpf υποστηρίζεται από το Docker για να περιορίσει τις syscalls από τα containers, μειώνοντας αποτελεσματικά το επιθετικό πεδίο. Μπορείτε να βρείτε τις syscalls που αποκλείονται από προεπιλογή στη διεύθυνση https://docs.docker.com/engine/security/seccomp/ και το προφίλ seccomp προεπιλογής μπορεί να βρεθεί εδώ https://github.com/moby/moby/blob/master/profiles/seccomp/default.json. Μπορείτε να εκτελέσετε ένα container docker με μια διαφορετική πολιτική seccomp με:
Αν θέλετε για παράδειγμα να απαγορεύσετε σε ένα container να εκτελεί κάποια syscall όπως το uname
, μπορείτε να κατεβάσετε το προφίλ προεπιλογής από https://github.com/moby/moby/blob/master/profiles/seccomp/default.json και απλά αφαιρέστε το string uname
από τη λίστα.
Αν θέλετε να βεβαιωθείτε ότι κάποιο δυαδικό αρχείο δεν λειτουργεί μέσα σε ένα docker container, μπορείτε να χρησιμοποιήσετε το strace για να εμφανίσετε τις syscalls που χρησιμοποιεί το δυαδικό αρχείο και στη συνέχεια να τις απαγορεύσετε.
Στο παρακάτω παράδειγμα ανακαλύπτονται οι syscalls του uname
:
Εάν χρησιμοποιείτε το Docker απλά για να εκτελέσετε μια εφαρμογή, μπορείτε να την προφίλαρετε με το strace
και να επιτρέψετε μόνο τις συσκευές που χρειάζεται.
Παράδειγμα πολιτικής Seccomp
Για να επιδείξουμε το χαρακτηριστικό Seccomp, ας δημιουργήσουμε ένα προφίλ Seccomp που απενεργοποιεί την κλήση συστήματος "chmod" όπως παρακάτω.
Στο παραπάνω προφίλ, έχουμε ορίσει την προεπιλεγμένη ενέργεια σε "επιτρέπεται" και έχουμε δημιουργήσει μια μαύρη λίστα για να απενεργοποιήσουμε την εντολή "chmod". Για να είμαστε ακόμα πιο ασφαλείς, μπορούμε να ορίσουμε την προεπιλεγμένη ενέργεια σε απόρριψη και να δημιουργήσουμε μια λευκή λίστα για να ενεργοποιήσουμε εκλεκτικά κλήσεις συστήματος. Το παρακάτω αποτέλεσμα δείχνει την κλήση "chmod" να επιστρέφει σφάλμα επειδή είναι απενεργοποιημένη στο προφίλ seccomp.
Το παρακάτω αποτέλεσμα δείχνει την εντολή "docker inspect" που εμφανίζει το προφίλ:
Απενεργοποίηση στο Docker
Ξεκινήστε ένα container με τη σημαία: --security-opt seccomp=unconfined
Από την έκδοση Kubernetes 1.19, το seccomp είναι ενεργοποιημένο από προεπιλογή για όλα τα Pods. Ωστόσο, το προφίλ seccomp που εφαρμόζεται προεπιλεγμένα στα Pods είναι το προφίλ "RuntimeDefault", το οποίο παρέχεται από τον container runtime (π.χ. Docker, containerd). Το προφίλ "RuntimeDefault" επιτρέπει τις περισσότερες κλήσεις συστήματος ενώ αποκλείει μερικές που θεωρούνται επικίνδυνες ή δεν απαιτούνται γενικά από τα containers.
Last updated