Secure computing mode
 | この項目「Secure computing mode」は途中まで翻訳されたものです。(原文:英語版 "Seccomp" 04:49, 27 March 2023 (UTC)) 翻訳作業に協力して下さる方を求めています。ノートページや履歴、翻訳のガイドラインも参照してください。要約欄への翻訳情報の記入をお忘れなく。(2023年3月) |
| Original author(s) | Andrea Arcangeli |
|---|---|
| 初期リリース | March 8, 2005 |
| 言語 | C |
| Operating system | Linux |
| Type | Sandboxing |
| ライセンス | GNU General Public License |
| Webサイト | code.google.com/archive/p/seccompsandbox/wikis/overview.wiki |
secure computing mode (略 seccomp) は、Linuxカーネル における コンピュータセキュリティ機構の一つである。seccomp は、プロセスが危険なシステムコールを呼び出せない「安全」な状態に不可逆的に移行させる。ただし、exit(), sigreturn(), 既に開いているファイルディスクリプタに対する read()/ write() を除く。
それ以外のシステムコールが実行されると、カーネルはそのイベントをログに記録するだけでシステムコールを実行しないか、SIGKILL もしくは SIGSYS でプロセスを強制終了させる。
すなわち、seccomp はシステムリソースの仮想化を行うのではなく、プロセスをリソースから完全に独立させる。
seccomp は 引数に PR_SET_SECCMP を指定した prctl(2) システムコールによって実現される。または Linuxカーネル 3.17 以降では、seccomp(2) システムコールが使われる。