報告 Seccomp 違規行為

在執行受 seccomp 約束的程序時，我希望在某些日誌中查看任何 seccomp 違規。一些線上Google搜尋顯示這些違規行為已報告給 syslog 或 audit.log。但是，即使我知道程序因它們而死，我也沒有在那裡看到它們。這是需要在某處啟用的東西嗎？

我正在使用 Ubuntu Xenial 16.04。

編輯：我發現SCMP_ACT_ERRNO我使用的標誌不會觸發日誌記錄。僅SCMP_ACT_KILL觸發日誌記錄。

兩點：

• 您應該已經安裝了審計守護程序包，auditd.
• 在其預設配置auditd中除了記錄使用者登錄時沒有做太多事情。

無論哪種方式，您都必須對其進行配置以使其有用。

進一步閱讀：

• auditd - Linux 審計守護程序
• 簡單的範例 auditd 配置？
• Auditd - Linux 伺服器上的安全審計工具
• 使用審核守護程序配置和審核 Linux 系統

手冊頁不是很深，這就是我指向附加頁面的原因。

關於配置 seccomp 本身的閱讀資料不多。以下是一些有用的起點（包括 auditd 可能不需要配置的註釋，因為 seccomp 是無條件報告的）：

• Seccomp 和沙盒
• 關於：$$ PATCH $$禁用系統呼叫審計時不審計 SECCOMP_KILL/RET_ERRNO
• seccomp 和 audit_enabled

引用自：https://unix.stackexchange.com/questions/303061