안녕하세요 @srd424입니다. 나는 당신이 이 문제에서 무엇을 요구하는지 이해하고 있는지 확인하고 싶습니다 ... 특정 시스템 호출이 해당 아치에 구현되었는지 여부에 관계없이 libseccomp가 주어진 시스템 호출에 대해 "알고 있는지" 여부를 기본적으로 알고 싶어하는 것 같습니다. /ABI 네?

그렇다면 seccomp_syscall_resolve_name(...) 를 사용하여 원하는 정보를 얻을 수 있어야 한다고 생각합니다. 반환 값이 __NR_SCMP_ERROR 이면 시스템 호출이 libseccomp에 알려지지 않고, 양수이면 기본 아치/ABI에 시스템 호출이 존재하고, 음수이면 기본 아치/에 시스템 호출이 존재하지 않습니다. 아비. 그게 당신을 위해 작동합니까?

그것은 필터를 만들 수 있습니다 .. 장황합니다!

내가 하고 싶었던 것은 필터 규칙이 시스템 호출 번호를 알려진 가장 높은 번호와 비교하도록 하고, 더 크면 ENOSYS 를 반환하고, 그렇지 않으면 EPERM 반환하는 것입니다(화이트리스트에 있는 시스템 호출이 처리되었다고 가정 이전 규칙에 따라.)

그러나 seccomp_rule_add 에 대한 세부 정보를 보면 작동하는지 확신할 수 없습니다. syscall 번호는 특별히 처리됩니다. 원시 bpf 필터가 이를 수행하도록 구성될 수 있지만 이는 libseccomp에 대한 보다 침입적인 변경을 의미할 것입니다. 아마도 제 급여 등급보다 높을 것입니다!

라이브러리의 여러 사용자에게 원래 문제가 발생할 수 있다고 생각하기 때문에 libseccomp에 추가하는 것이 합리적인 기능일 수도 있고 그렇지 않을 수도 있습니다. 약간 더 정교한 기본 작업을 생성하는 문제인 것 같습니다(그냥?).

그것은 필터를 만들 수 있습니다 .. 장황합니다!

무슨 말인지 잘 모르겠습니다...? seccomp_syscall_resolve_name(...) 대한 호출은 실제로 필터에 영향을 미치지 않고 내부 libseccomp syscall db를 쿼리하여 syscall 해결을 수행합니다. 한 번, 천 번 또는 절대 호출하지 않을 수 있으며 필터는 정확히 동일합니다. :)

내가 하고 싶었던 것은 필터 규칙이 시스템 호출 번호를 알려진 가장 높은 번호와 비교하도록 하고, 더 크면 ENOSYS를 반환하고, 그렇지 않으면 EPERM을 반환하는 것입니다(화이트리스트에 있는 시스템 호출이 이전 규칙에 의해 처리되었다고 가정).

알겠습니다. 이제 당신이 무엇을 요구하는지 이해하기 시작한 것 같습니다. 시스템 호출이 libseccomp에 대해 알 수 없는 경우 응용 프로그램 코드가 아닌 필터 자체가 특정 작업을 수행하기를 원합니다(위의 예에서 ENOSYS 반환). 기본적으로 그게 다야, 아니면 내가 다시 뭔가를 놓치고 있는 걸까?

위에서 언급한 두 번째 스레드의 이 댓글 은 저를 웃게 만들었습니다 :+1:

나는 libseccomp에서 ENOSYS 처리에 대한 토론을 열려고 시도했습니다.
https://github.com/seccomp/libseccomp/issues/286 , 하지만 아마 아닐 것입니다
매우 일관성이 있습니다..

당신이 언급한 스레드를 읽은 후, 나는 같은 페이지에 있다고 생각합니다.

누군가(libseccomp, nspawn, whoever)가 ENOSYS 반환할 수 있으면 glibc는 새로운 시스템 호출(예: openat2 )에서 이전 시스템 호출(예: openat 로 폴백을 시도합니다. EPERM 를 glibc에 반환하면 glibc는 호출이 허용되지 않았다고 생각하고 glibc는 포기합니다. 이것이 이 호의 초기 논평을 공정하게 바꾸어 쓴 것입니까?

나는 그 요구가 합리적이라고 생각한다. libseccomp가 이러한 요구 사항을 충족할 수 있는지 더 생각해야 하지만 현재로서는 이의가 없습니다. 여기에는 최종 사용자 경험을 개선할 수 있는 기회가 분명히 있습니다.

RFE에 감사드립니다.

누군가(libseccomp, nspawn, whoever)가 ENOSYS 반환할 수 있으면 glibc는 새로운 시스템 호출(예: openat2 )에서 이전 시스템 호출(예: openat 로 폴백을 시도합니다. EPERM 를 glibc에 반환하면 glibc는 호출이 허용되지 않았다고 생각하고 glibc는 포기합니다. 이것이 이 호의 초기 논평을 공정하게 바꾸어 쓴 것입니까?

네, 맞습니다. systemd 사람들의 의견은 EPERM이 거부된 시스템 호출에 대해 대부분의 경우 합리적이라는 것입니다. 아마도 최종 사용자/관리자에게 "허용되지 않음"을 전달하기 때문일 것입니다. 따라서 "새"와 "이전" 시스템 호출을 구별하고 인식할 수 없는 모든 것에 대해 ENOSYS를 수행하는 아이디어입니다. 성능상의 이유로 BPF의 모든 단일 시스템 호출을 열거하고 테스트하고 싶지 않다고 가정합니다. 따라서 아키텍처당 알려진 시스템 호출 수에 대한 상위 워터마크를 추적하는 것이 "최선의 노력" 방법처럼 보였습니다.

docker, podman, lxc 등이 seccomp 필터링을 사용하여 이점을 얻을 수 있는지 알아보는 것이 흥미로울 것입니다. 그동안 저는 seccomp 이벤트의 로깅을 허용하는 nspawn용 패치를 PR했습니다. 그러면 디버깅이 조금 더 쉬워질 것입니다.

나는 그 요구가 합리적이라고 생각한다. libseccomp가 이러한 요구 사항을 충족할 수 있는지 더 생각해야 하지만 현재로서는 이의가 없습니다. 여기에는 최종 사용자 경험을 개선할 수 있는 기회가 분명히 있습니다.

RFE에 감사드립니다.

@drakenclimber 에 동의합니다. 이 요청은 합리적으로 들립니다. 가능한 솔루션에 대해 생각할 시간이 더 필요하다고 생각합니다. :)

아주 기본적인 수준에서 이것은 RFE #11과 유사하며 결국 응용 프로그램에 끔찍하지 않은 방식으로 이것을 구현하는 가장 쉬운 방법일 수 있습니다. 응용 프로그램은 지원되는 최대 커널 API 버전을 지정할 수 있습니다. v5.8(분명히 토큰화됨)뿐만 아니라 그 이상에 대한 주어진 작업과 libseccomp가 나머지를 처리합니다. @srd424 여러분에게 효과가 있습니까?

안녕하세요, 이것은 https://github.com/systemd/systemd/pull/16739 에서도 논의되었습니다

애플리케이션은 지원되는 최대 커널 API 버전(예: v5.8(분명히 토큰화됨))과 그 이상에 대해 주어진 작업을 지정할 수 있으며 나머지는 libseccomp가 처리합니다.

이것은 잘 작동합니다. systemd/systemd-nspawn에서 명시적으로 허용 목록 및 거부 목록에 있는 모든 시스템 호출에 대해 사용자 지정 errno를 반환하고 "지원되는 커널 API 버전"의 다른 시스템 호출에 대해서는 EPERM을 반환하고 새 버전에 대해서는 ENOSYS를 반환하고 싶습니다.

구현이 너무 복잡하지 않을 것이라고 생각합니다. 예를 들어 amd64의 경우 "알려진" 시스템 호출은 n <= 181 || 186 <= n <= 235 || 237 <= n <= 334 || 424 <= n <= 439 로 표현할 수 있습니다. 그리고 이러한 표현식은 syscall 테이블에서 프로그래밍 방식으로 쉽게 생성할 수 있습니다.

94도 관련이 있을 수 있습니다.

오늘 아침에 카페인이 부족하지만 ENOSYS를 처리하면 성능 향상을 위해 큰 허용 목록을 작은 거부 목록으로 바꿀 수 있습니까?

구현이 너무 복잡하지 않을 것이라고 생각합니다. 예를 들어 amd64의 경우 "알려진" 시스템 호출은 n <= 181 || 186 <= n <= 235 || 237 <= n <= 334 || 424 <= n <= 439. 이러한 표현식은 시스템 호출 테이블에서 프로그래밍 방식으로 쉽게 생성할 수 있습니다.

암시하듯이 실제 BPF는 아치/ABI와 커널 버전에 따라 다릅니다. 위의 x86_64 예에서 BPF는 그리 나쁘지 않을 것이지만 다른 아치/버전에서는 그렇게 운이 좋지 않습니다. 그럼에도 불구하고, 이것은 이제 동일한 것을 효과적으로 요청하는 두 가지 문제이므로 우리가 하고 싶어할 것이라고 생각합니다. ... 나는 그것이 얼마나 쉬울 것인지에 대해 뛰어오르기 시작하지 않을 것입니다. )

94도 관련이 있을 수 있습니다.

일종의 예, 일종의 아니오. 여기에는 범위가 포함되지만 #94는 호출자 지정 인수 범위에 관한 것입니다(여전히 우리가 하고 싶은 것, PR이 좋지 않은 시간에 들어왔고 API에 약간의 조정이 필요하다고 생각합니다). 반면 우리가 말하는 것은 다음과 같습니다. 라이브러리 자체에 의해 생성되는 암시적으로 생성된 syscall 범위.

오늘 아침에 카페인이 부족하지만 ENOSYS를 처리하면 성능 향상을 위해 큰 허용 목록을 작은 거부 목록으로 바꿀 수 있습니까?

예를 들어 systemd와 같은 응용 프로그램 관점에서 "새로운" 시스템 호출을 차단하려는 경우 예 ... 우리가 같은 것에 대해 이야기하고 있다고 가정하면 :)

더 구체적으로 말하면 .. 현재 특정 시스템 호출을 _보안적으로_ 차단하려는 사람은 누구나 허용 목록에 추가해야 합니다. 왜냐하면 최신 커널에서 어떤 시스템 호출을 추가할지 확신할 수 없기 때문입니다. 알 수 없는 시스템 호출을 자동으로 차단하도록 libseccomp를 요청할 수 있다면 이는 대신 작은 거부 목록으로 안전하게 전환할 수 있다는 의미입니까?

더 구체적으로 말하면 .. 현재 특정 시스템 호출을 _보안적으로_ 차단하려는 사람은 누구나 허용 목록에 추가해야 합니다. 왜냐하면 최신 커널에서 어떤 시스템 호출을 추가할지 확신할 수 없기 때문입니다. 알 수 없는 시스템 호출을 자동으로 차단하도록 libseccomp를 요청할 수 있다면 이는 대신 작은 거부 목록으로 안전하게 전환할 수 있다는 의미입니까?

정말 멋진 기능이 될 것이기 때문에 우리가 거기에 도달할 수 있기를 진심으로 바랍니다. 예를 들어 Docker는 현재 허용 목록을 사용하고 있으며

이렇게 큰 목록이 성능에 미치는 영향은 어마어마할 수 있습니다. v2.5에서 추가한 이진 트리 기능을 사용하면 다소 완화될 수 있습니다.

더 구체적으로 말하면 .. 현재 특정 시스템 호출을 _보안적으로_ 차단하려는 사람은 누구나 허용 목록에 추가해야 합니다. 왜냐하면 최신 커널에서 어떤 시스템 호출을 추가할지 확신할 수 없기 때문입니다. 알 수 없는 시스템 호출을 자동으로 차단하도록 libseccomp를 요청할 수 있다면 이는 대신 작은 거부 목록으로 안전하게 전환할 수 있다는 의미입니까?

이것이 어떻게 작동하는지 모르겠습니다. libseccomp에 알려지지 않고 차단 목록 작성자에게 알려지지 않은 것은 일반적으로 다른 것을 의미합니다. 이는 libseccomp가 내부적으로 지원되는 시스템 호출에 대한 더 명확한 그림을 가지고 있더라도 개념적 문제가 사라지지 않는다는 것을 의미합니다.

좋은 점 - 작동하려면 커널 버전으로 태그가 지정된 잘 정의된 세트가 필요하다고 생각합니다. 이에 대해 약간 논의 중인 것 같습니다.

구현이 너무 복잡하지 않을 것이라고 생각합니다. 예를 들어 amd64의 경우 "알려진" 시스템 호출은 n <= 181 || 186 <= n <= 235 || 237 <= n <= 334 || 424 <= n <= 439. 이러한 표현식은 시스템 호출 테이블에서 프로그래밍 방식으로 쉽게 생성할 수 있습니다.

암시하듯이 실제 BPF는 아치/ABI와 커널 버전에 따라 다릅니다. 위의 x86_64 예에서 BPF는 그리 나쁘지 않을 것이지만 다른 아치/버전에서는 그렇게 운이 좋지 않습니다. 그럼에도 불구하고, 이것은 이제 동일한 것을 효과적으로 요청하는 두 가지 문제이므로 우리가 하고 싶어할 것이라고 생각합니다. ... 나는 그것이 얼마나 쉬울 것인지에 대해 뛰어오르기 시작하지 않을 것입니다. )

테이블은 상당히 연속적입니다.

>>> l = {int(s[1]):s[0] for s in (s.split() for s in open('syscalls-x86_64').readlines()) if len(s)>1}; x = np.array(sorted(l.keys())); np.diff(x)
array([ 1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  5,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  2,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1, 90,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1])
>>> l = {int(s[1]):s[0] for s in (s.split() for s in open('syscalls-alpha').readlines()) if len(s)>1}; x = np.array(sorted(l.keys())); np.diff(x)
array([ 1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  2,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  2,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  3,  1,  2,  1,  1,
        1,  1,  1,  2,  1,  1,  1,  3, 12,  3,  3,  1, 11,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        2,  1,  1,  1,  1,  1,  1,  5,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  2,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1, 39,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  2,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  2,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  2,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  2,  1,  1,  1,  1,  3,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  2,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        1,  1,  1,  1,  1,  1,  2,  1,  1,  1,  1,  1,  1,  1,  1,  1,  1,
        2,  1,  1,  1])
>>> l = {int(s[1]):s[0] for s in (s.split() for s in open('syscalls-arm').readlines()) if len(s)>1}; x = np.array(sorted(l.keys())); np.diff(x)
array([1, 1, 1, 1, 1, 1, 2, 1, 1, 1, 1, 2, 1, 1, 3, 1, 1, 2, 1, 2, 3, 4,
       1, 2, 1, 1, 1, 1, 1, 1, 1, 2, 1, 1, 2, 1, 1, 1, 2, 1, 2, 3, 1, 1,
       1, 1, 1, 1, 1, 3, 1, 1, 1, 1, 1, 2, 1, 1, 1, 1, 2, 2, 1, 1, 1, 3,
       1, 1, 1, 1, 1, 1, 2, 1, 3, 1, 1, 1, 1, 1, 3, 3, 1, 1, 2, 1, 1, 1,
       1, 2, 1, 1, 2, 1, 2, 1, 1, 1, 1, 1, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 3, 1, 1, 1,
       1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 3, 1, 1, 1, 1, 1,
       1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 1, 3, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 3, 1, 1, 1, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 2, 1, 1, 1, 1, 1, 1,
       1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1])
>>> l = {int(s[1]):s[0] for s in (s.split() for s in open('syscalls-riscv64').readlines()) if len(s)>1}; x = np.array(sorted(l.keys())); np.diff(x)
array([  1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   2,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,  16,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1, 130,   1,   1,   1,   1,   1,   1,   1,
         1,   1,   1,   1,   1,   1,   1,   1])

https://github.com/systemd/systemd/pull/16819 에서 systemd-nspawn에 대한 "알려진" 시스템 호출 필터를 구현했습니다 https://github.com/systemd/systemd/pull/16819/commits/158e30ffd9355a7640a7276276eb9219b6c87914 에는 일부 libseccomp 생성 프로그램 덤프가 있습니다. 그 덤프는 길기 때문에 여기에서 반복하지 않겠지만 SCMP_FLTATR_CTL_OPTIMIZE는 프로그램을 더 효율적으로 만들 뿐만 아니라 더 길게 만듭니다. 범위 비교를 사용하면 50배 더 ​​짧게 만들 수 있습니다.

방금 이 스레드를 찾았습니다. 비슷한 라인에 대해 생각하고 있으며 이것은 확실히 Docker/runc도 해결하고자 하는 것입니다. 최대 커널 버전으로 수행하는 것이 아마도 가장 좋은 방법일 것입니다. 왜냐하면 프로필 작성자(및 컨테이너 런타임)가 순서에 따라 추가된 시스템 호출이나 작성 당시 최신 시스템 호출을 추적할 필요가 없기 때문입니다. 프로필.

위의 논의를 바탕으로 여기 있는 대부분의 사람들(모두?)은 11번 문제가 이 문제를 해결하는 올바른 방법이라고 믿는 것 같습니다. 향후 토론을 원래 문제(#11)로 옮기기 위해 이 문제를 종료하는 데 문제가 있는 사람이 있습니까?