Я хотел бы запустить программу в systemd с включенным SecComp, но получать предупреждение в журналах только тогда, когда отфильтрованные системные вызовы выполняются программой (или ее библиотеками). Замечания:

  • Я уже использовал ptrace чтобы узнать, какие системные вызовы требует моя программа. (Это не главное в моем вопросе)
  • С установленным по умолчанию SystemCallErrorNumber=RET_KILL это правильно завершает мою программу, если я не отфильтрую системный вызов, как ожидалось.

Я попытался установить SystemCallErrorNumber в EPERM , EACCES . Но:

  • Там нет ничего, что логи указывают, что clone был вызван. Может быть, это было бы возможно с правилом auditd?
  • Кажется, это зависит от системного вызова! Если я только отфильтрую brk , программа завершит работу с error while loading shared libraries: libc.so.6: cannot open shared object file: Operation not permitted?!
|источник

0