Posted inSecurity
LinuxとDockerコンテナのSeccompプロファイル設定:システムコールフィルタリングによるアタックサーフェス削減
DockerコンテナとLinuxサービスへのSeccompプロファイル設定を実践的に解説。危険なシステムコールをフィルタリングしてアタックサーフェスを削減し、権限昇格攻撃を防ぐ方法を紹介する。カスタムJSONプロファイルの作成、systemd設定、straceを使ったsyscallデバッグ方法も含む。
Posted inLinux
straceを使ったLinuxアプリケーションのデバッグ入門:システムコールの追跡とエラー原因の特定
straceを使うと、ファイルのオープン、ネットワーク接続、ロック待機など、Linux上のプロセスが実行するすべてのシステムコールを、ソースコードもリコンパイルも不要で追跡できる。本記事では、パーミッションエラー、ファイルが見つからない問題、サービスのハングアップ、I/Oボトルネックのデバッグにstraceを実践的に活用する方法を解説する。