Libseccomp: T: mencegat syscalls dari proses yang sama

Mungkin perlu disebutkan bahwa upaya untuk mencegat syscalls sebagai bentuk sandboxing dari dalam ruang alamat yang sama dengan proses yang di-sandbox akan rentan terhadap kegagalan. Aplikasi jahat dapat menemukan cara untuk mendeteksi bahwa itu sedang dikotak pasir dan mengambil tindakan terhadap kode kotak pasir yang berjalan di ruang alamatnya.

Pilihan yang lebih baik adalah menggunakan filter syscall statis yang lebih tradisional seperti yang dilakukan oleh sejumlah besar alat sandboxing atau membuat proses supervisor untuk memantau dan mencegat syscalls menggunakan kemampuan notifikasi yang ditambahkan ke seccomp/libseccomp.

Saya cukup baru di seccomp, sehari sebelumnya bahkan tidak tahu tentang keberadaannya, jika saya mengerti dengan benar, penambahan pemberitahuan baru-baru ini memberi kami kemampuan untuk menangani syscalls dari mode pengguna.
Apakah Anda memiliki kode yang dapat saya gunakan sebagai referensi untuk tugas ini (seccomp notif. untuk mencegat syscalls)?

Anda selalu dapat memeriksa tes di bawah ini, ini agak sederhana tetapi seharusnya memberi Anda ide dasar tentang cara menggunakannya:

• https://github.com/seccomp/libseccomp/blob/main/tests/58-live-tsync_notify.c

Saya akan menutup masalah ini karena saya pikir pertanyaannya telah diselesaikan, tetapi jika Anda tidak setuju, silakan buka kembali/komentar.