Я хотел бы запустить программу в systemd с включенным SecComp, но получать предупреждение в журналах только тогда, когда отфильтрованные системные вызовы выполняются программой (или ее библиотеками). Замечания:
- Я уже использовал
ptrace
чтобы узнать, какие системные вызовы требует моя программа. (Это не главное в моем вопросе) - С установленным по умолчанию
SystemCallErrorNumber=RET_KILL
это правильно завершает мою программу, если я не отфильтрую системный вызов, как ожидалось.
Я попытался установить SystemCallErrorNumber
в EPERM
, EACCES
. Но:
- Там нет ничего, что логи указывают, что
clone
был вызван. Может быть, это было бы возможно с правиломauditd
? - Кажется, это зависит от системного вызова! Если я только отфильтрую
brk
, программа завершит работу сerror while loading shared libraries: libc.so.6: cannot open shared object file: Operation not permitted
?!