こんにちは@ srd424。 この問題であなたが何を求めているのかを確実に理解したいと思います...その特定のシステムコールがそのアーチに実装されているかどうかに関係なく、libseccompが特定のシステムコールについて「知っている」かどうかを基本的に知りたいと思います/ ABI、そうですか？

もしそうなら、私はあなたがあなたが望む情報を得るためにseccomp_syscall_resolve_name(...)を使うことができるはずだと信じています。 戻り値が__NR_SCMP_ERROR場合、syscallはlibseccompに認識されません。正の場合、syscallはネイティブarch / ABIに存在し、負の場合、syscallはネイティブarch /に存在しません。 ABI。 それはあなたのために働きますか？

それはフィルターを..長蛇の列にするかもしれません！

私が望んでいたのは、フィルタールールでシステムコール番号を既知の最大値と比較し、大きい場合はENOSYSを返し、そうでない場合はEPERM返すことです（ホワイトリストに登録されたシステムコールが処理されたと仮定します）以前のルールによる。）

ただし、 seccomp_rule_addの詳細を見ると、それが機能するかどうかはわかりません。syscall番号は特別に扱われます。 生のbpfフィルターはおそらくこれを行うために構築される可能性がありますが、それはlibseccompへのより侵襲的な変更を意味します-おそらく私の賃金等級を超えています！

ライブラリの複数のユーザーで元の問題が発生する可能性があるため、libseccompに追加するのが妥当な機能である場合とそうでない場合があります。 （ちょうど？）もう少し洗練されたデフォルトのアクションを生成する問題のようです。

それはフィルターを..長蛇の列にするかもしれません！

ここで何を言っているのかよくわかりません...？ seccomp_syscall_resolve_name(...)の呼び出しは、実際にはフィルターに影響を与えません。内部のlibseccomp syscall dbにクエリを実行して、syscallを解決します。 あなたはそれを一度、千回、または決して呼ぶことができません、そしてあなたのフィルターはまったく同じになります:)

私が望んでいたのは、フィルタールールでシステムコール番号を既知の最大値と比較し、それより大きい場合はENOSYSを返し、それ以外の場合はEPERMを返すことです（ホワイトリストに登録されたシステムコールが以前のルールで処理されていると仮定します）。

さて、私はあなたが今何を求めているのか理解し始めていると思います。 syscallがlibseccompを認識していない場合、アプリケーションコードではなく、フィルター自体に特定のアクション（上記の例ではENOSYSを返す）を実行させたいですか？ それは基本的にそれですか、それとも私は再び何かを逃していますか？

上記の2番目のスレッドのこのコメントは私を笑顔にしました：+1：

libseccompでのENOSYS処理についてのディスカッションを開こうとしました。
https://github.com/seccomp/libseccomp/issues/286 、しかし私はおそらくそうではありません
非常に首尾一貫している。

あなたが言及したスレッドを読んだ後、私は同じページにいると思います。

誰か（libseccomp、nspawn、誰でも）がENOSYS返す可能性がある場合、glibcは新しいシステムコール（例： openat2 ）から古いシステムコール（例： openatにフォールバックしようとします。 EPERMをglibcに返すと、glibcは呼び出しが許可されていないと見なすだけで、glibcはあきらめます。 それはこの号の最初のコメントの公正な言い換えですか？

リクエストは妥当だと思います。 libseccompがこれらのニーズを満たすことができるかどうかをもう少し考える必要がありますが、現時点では異論はありません。 ここには、エンドユーザーエクスペリエンスを向上させる機会が確実にあります。

RFEをありがとう。

誰か（libseccomp、nspawn、誰でも）がENOSYS返す可能性がある場合、glibcは新しいシステムコール（例： openat2 ）から古いシステムコール（例： openatにフォールバックしようとします。 EPERMをglibcに返すと、glibcは呼び出しが許可されていないと見なすだけで、glibcはあきらめます。 それはこの号の最初のコメントの公正な言い換えですか？

はい、そうですね。 systemdの人々の意見は、EPERMは、おそらくエンドユーザー/管理者に「許可されていない」ことを伝えるため、拒否されたシステムコールに対してほとんどの場合合理的であるというものです。 したがって、「新しい」システムコールと「古い」システムコールを区別し、認識されないものに対してENOSYSを実行するというアイデア。 パフォーマンス上の理由から、BPF内のすべてのシステムコールを列挙してテストしたくないと思います。そのため、アーチごとの既知のシステムコール数の最高水準点を追跡することは、「最善の努力」の方法のように思われました。

docker、podman、lxcなどがseccompフィルタリングで何をするのかを知り、それらがメリットをもたらすかどうかを確認するのは興味深いことです。 それまでの間、seccompイベントのログ記録を可能にするnspawnのパッチをPRしました。これにより、デバッグが少し簡単になります。

リクエストは妥当だと思います。 libseccompがこれらのニーズを満たすことができるかどうかをもう少し考える必要がありますが、現時点では異論はありません。 ここには、エンドユーザーエクスペリエンスを向上させる機会が確実にあります。

RFEをありがとう。

私は@drakenclimberに同意し

かなり基本的なレベルでは、これはRFE＃11に似ており、最終的には、アプリケーションにとってひどい方法でこれを実装する最も簡単な方法である可能性があります。アプリケーションは、サポートされる最大のカーネルAPIバージョンを指定できます。 v5.8（明らかにトークン化されている）、およびそれ以降の特定のアクションと、libseccompが残りを処理します。 それはあなたたち@ srd424のために働きますか？

こんにちは、これはhttps://github.com/systemd/systemd/pull/16739でも議論されました

アプリケーションは、サポートされているカーネルAPIの最大バージョン（v5.8（明らかにトークン化されている）など）と、それ以降のアクションを指定できます。その後、libseccompが残りを処理します。

これはうまくいくでしょう。 systemd / systemd-nspawnでは、明示的に許可リストおよび拒否リストされたシステムコールに対してカスタムerrnoを返し、「サポートされているカーネルAPIバージョン」の他のシステムコールに対してEPERMを返し、新しいシステムコールに対してENOSYSを返します。

実装はそれほど複雑ではないと思います。 たとえば、amd64の場合、「既知の」システムコールはn <= 181 || 186 <= n <= 235 || 237 <= n <= 334 || 424 <= n <= 439として表すことができます。 そして、そのような式は、syscallテーブルからプログラムで簡単に生成できます。

94も関連している可能性があります。

今朝はカフェインが不足していますが、ENOSYSを処理することで、大きな許可リストを小さなデニリストに変えて、パフォーマンスを向上させることができるでしょうか。

実装はそれほど複雑ではないと思います。 たとえば、amd64の場合、「既知の」システムコールはn <= 181 ||として表すことができます。 186 <= n <= 235 || 237 <= n <= 334 || 424 <= n <= 439。このような式は、syscallテーブルからプログラムで簡単に生成できます。

ご存知のように、実際のBPFはarch / ABIとカーネルバージョンの両方に固有のものになります。 上記のx86_64の例では、BPFはそれほど悪くはありませんが、他のアーチ/バージョンにとってはそれほど幸運ではありません。 とにかく、これは今や同じことを効果的に要求している2つの問題なので、私たちがやりたいことだと思います...私はそれがどれほど簡単になるかについて飛び跳ね始めるつもりはありません; ）。

94も関連している可能性があります。

はい、いいえのようなものです。 範囲が含まれますが、＃94は呼び出し元が指定した引数の範囲に関するものです（これはまだやりたいと思います。PRはちょうど悪い時期に来たので、APIには微調整が必​​要だと思います）。ライブラリ自体によって生成される暗黙的に作成されたシステムコール範囲。

今朝はカフェインが不足していますが、ENOSYSを処理することで、大きな許可リストを小さなデニリストに変えて、パフォーマンスを向上させることができるでしょうか。

アプリケーションの観点から、たとえばsystemdの場合、「新しい」システムコールをブロックしようとしている場合は、そうです...同じことについて話していると仮定します:)

具体的には、現時点では、特定のシステムコールを_安全に_ブロックしようとする人は、新しいカーネルがどのシステムコールを追加するかわからないため、allowlistを効果的に使用する必要があります。 libseccompに不明なシステムコールを自動的にブロックするように要求できる場合、それは代わりに小さな拒否リストに安全に切り替えることができることを意味しますか？

具体的には、現時点では、特定のシステムコールを_安全に_ブロックしようとする人は、新しいカーネルがどのシステムコールを追加するかわからないため、allowlistを効果的に使用する必要があります。 libseccompに不明なシステムコールを自動的にブロックするように要求できる場合、それは代わりに小さな拒否リストに安全に切り替えることができることを意味しますか？

それは絶対に素晴らしい機能になるので、私たちはそこに到達できることを心から願っています。 たとえば、Dockerは現在、許可リストを採用しており、

このような大きなリストのパフォーマンスへの影響は、法外なものになる可能性があります。 v2.5で追加したバイナリツリー機能を使用することで、多少軽減できることに注意してください。

具体的には、現時点では、特定のシステムコールを_安全に_ブロックしようとする人は、新しいカーネルがどのシステムコールを追加するかわからないため、allowlistを効果的に使用する必要があります。 libseccompに不明なシステムコールを自動的にブロックするように要求できる場合、それは代わりに小さな拒否リストに安全に切り替えることができることを意味しますか？

これがどのように機能するかわかりません。 libseccompには不明であり、拒否リストの作成者には不明であるということは、通常、異なる意味を持ちます。 これは、libseccompがサポートされているシステムコールを内部でより明確に把握していても、概念上の問題が解消されないことを意味します。

良い点-それが機能するためには、カーネルバージョンでタグ付けされた明確に定義されたセットが必要だと思いますが、これについては少し議論されているようです。

実装はそれほど複雑ではないと思います。 たとえば、amd64の場合、「既知の」システムコールはn <= 181 ||として表すことができます。 186 <= n <= 235 || 237 <= n <= 334 || 424 <= n <= 439。このような式は、syscallテーブルからプログラムで簡単に生成できます。

ご存知のように、実際のBPFはarch / ABIとカーネルバージョンの両方に固有のものになります。 上記のx86_64の例では、BPFはそれほど悪くはありませんが、他のアーチ/バージョンにとってはそれほど幸運ではありません。 とにかく、これは今や同じことを効果的に要求している2つの問題なので、私たちがやりたいことだと思います...私はそれがどれほど簡単になるかについて飛び跳ね始めるつもりはありません; ）。

テーブルはかなり連続しています。

>>> l = {int(s[1]):s[0] for s in (s.split() for s in open('syscalls-x86_64').readlines()) if len(s)>1}; x = np.array(sorted(l.keys())); np.diff(x)
array([ 1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  5,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  2,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1, 90,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1])
>>> l = {int(s[1]):s[0] for s in (s.split() for s in open('syscalls-alpha').readlines()) if len(s)>1}; x = np.array(sorted(l.keys())); np.diff(x)
array([ 1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  2,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  2,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  3,  1,  2,  1,  1,
        1,  1,  1,  2,  1,  1,  1,  3, 12,  3,  3,  1, 11,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        2,  1,  1,  1,  1,  1,  1,  5,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  2,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1, 39,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  2,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  2,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  2,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  2,  1,  1,  1,  1,  3,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  2,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  2,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        2,  1,  1,  1])
>>> l = {int(s[1]):s[0] for s in (s.split() for s in open('syscalls-arm').readlines()) if len(s)>1}; x = np.array(sorted(l.keys())); np.diff(x)
array([1, 1, 1, 1, 1, 1, 2, 1, 1, 1, 1, 2, 1, 1, 3, 1, 1, 2, 1, 2, 3, 4,
       1, 2, 1, 1, 1, 1, 1, 1, 1, 2, 1, 1, 2, 1, 1, 1, 2, 1, 2, 3, 1, 1,
       1, 1, 1, 1, 1, 3, 1, 1, 1, 1, 1, 2, 1, 1, 1, 1, 2, 2, 1, 1, 1, 3,
       1, 1, 1, 1, 1, 1, 2, 1, 3, 1, 1, 1, 1, 1, 3, 3, 1, 1, 2, 1, 1, 1,
       1, 2, 1, 1, 2, 1, 2, 1, 1, 1, 1, 1, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 3, 1, 1, 1,
       1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 3, 1, 1, 1, 1, 1,
       1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 1, 3, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 3, 1, 1, 1, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 2, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1])
>>> l = {int(s[1]):s[0] for s in (s.split() for s in open('syscalls-riscv64').readlines()) if len(s)>1}; x = np.array(sorted(l.keys())); np.diff(x)
array([  1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   2,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,  16,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1, 130,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1])

https://github.com/systemd/systemd/pull/16819でsystemd-nspawnの「既知の」システムコールのフィルターを実装しましたhttps://github.com/systemd/systemd/pull/16819/commits/158e30ffd9355a7640a7276276eb9219b6c87914には、libseccompで生成されたプログラムのダンプがあります。 これらのダンプは長いので、ここでは繰り返しませんが、SCMP_FLTATR_CTL_OPTIMIZEを使用すると、プログラムがより効率的になりますが、より長くなります。 範囲比較を使用することで、物事を最大50分の1に短縮できます。

私はこのスレッドを見つけたばかりで、同じような行を考えていたと言ってチャイムを鳴らしました。これは間違いなくDocker / runcも解決したいと思っていることです。 最大のカーネルバージョンでそれを行うことは、おそらくそれを行うための最も良い方法です。これは、プロファイルライター（およびコンテナーランタイム）が、順不同で追加されたシステムコールや、執筆時点での最新のシステムコールを追跡する必要がないことを意味します。プロフィール。

上記の議論に基づくと、ここの人々のほとんど（すべて？）は、問題＃11がこの問題を解決する正しい方法であると信じているようです。 将来の議論を元の問題（＃11）に移すことを支持して、この問題を閉じることに問題がある人はいますか？