seccomp

この記事は更新が必要です。最近の出来事や新たに入手した情報を反映させるため、この記事の更新にご協力ください。（2012年5月）

seccomp（セキュアコンピューティング^{[ 1 ]}の略）は、Linuxカーネルのコンピュータセキュリティ機能です。seccompを使用すると、プロセスは、既に開いているファイル記述子への、、および以外のシステムコールを実行できない「セキュア」状態への一方向遷移を行うことができます。その他のシステムコールを実行しようとすると、カーネルはイベントをログに記録するか、SIGKILLまたはSIGSYSでプロセスを終了します。^{[ 2 ] [ 3 ]}この意味で、seccompはシステムのリソースを仮想化するのではなく、プロセスを完全にシステムリソースから分離します。 exit()sigreturn()read()write()

prctl(2)seccomp モードは、引数を使用してシステムコールで有効にするPR_SET_SECCOMPか、（Linux カーネル 3.17 ^{[ 4 ]}以降）seccomp(2)システムコールで有効にすることができます。^{[ 5 ]} seccomp モードは、以前はファイルに書き込むことで有効にしていました/proc/self/seccompが、この方法は に取って代わられ、 が採用されましたprctl()。^{[ 6 ]}カーネルのバージョンによっては、seccomp は、高精度のタイミングに使用される、電源投入後の経過プロセッササイクル数を返す x86 命令をRDTSC無効にします。 ^{[ 7 ]}

seccomp-bpfはseccomp ^{[ 8 ]}の拡張機能であり、 Berkeley Packet Filterルールを用いて実装された設定可能なポリシーを用いてシステムコールをフィルタリングすることを可能にする。OpenSSH ^{[ 9 ]}やvsftpd、そしてChromeOSおよびLinux上のGoogle Chrome/Chromiumウェブブラウザ^{[ 10 ]}で使用されている。 （この点においてseccomp-bpfは、 Linuxではサポートされなくなったと思われる旧来のsystraceと同様の機能を実現しつつ、より柔軟性とパフォーマンスに優れている。）

seccomp はOpenBSD pledge(2) やFreeBSD capsicum (4) に匹敵すると考える人もいます。

seccompは、2005年1月にアンドレア・アルカンジェリによって公共グリッドコンピューティング向けに考案され、当初は信頼できない計算負荷の高いプログラムを安全に実行するための手段として意図されていました。2005年3月8日にリリースされたカーネルバージョン2.6.12でLinuxカーネルのメインラインに統合されました。^{[ 11 ]}

• AndroidはAndroid 8.0 Oreo以降、zygoteでseccomp-bpfフィルタを使用しています。^{[ 12 ]}
• systemdのサンドボックスオプションはseccompに基づいています。^{[ 13 ]}
• 現代の仮想化の中核コンポーネントであるクイックエミュレータであるQEMUは、 KVMとともにパラメータseccompを使用しています--sandbox^{[ 14 ]}
• Docker – 分離されたコンテナ内でアプリケーションを実行できるようにするソフトウェア。Dockerはパラメータを使用して、seccompプロファイルをコンテナに関連付けることができます--security-opt。
• ArcangeliのCPUShareはしばらくの間、seccompの唯一の既知のユーザーでした。^{[ 15 ]} 2009年2月の執筆で、Linus Torvaldsはseccompが実際に誰かによって使用されているかどうか疑問視しています。^{[ 16 ]}しかし、Googleのエンジニアは、GoogleがChromeウェブブラウザのサンドボックス化にseccompを使用することを検討していると回答しました。^{[ 17 ] [ 18 ]}
• Firejailは、 Linux名前空間、Seccomp、その他のカーネルレベルのセキュリティ機能を利用してLinuxおよびWineアプリケーションをサンドボックス化するオープンソースのLinuxサンドボックスプログラムです。^{[ 19 ]}
• Chromeバージョン20以降では、seccomp-bpfがAdobe Flash Playerのサンドボックス化に使用されています。^{[ 20 ]}
• Chromeバージョン23以降では、レンダラーをサンドボックス化するためにseccomp-bpfが使用されています。^{[ 21 ]}
• Snapは、snapdがseccomp、 AppArmor、その他のセキュリティ構造に変換する「インターフェース」を使用して、アプリケーションサンドボックスの形状を指定します^{[ 22 ]}
• vsftpdはバージョン3.0.0以降、seccomp-bpfサンドボックスを使用しています。^{[ 23 ]}
• OpenSSHはバージョン6.0以降seccomp-bpfをサポートしています。^{[ 9 ]}
• Mboxはptraceとseccomp-bpfを併用することで、ptrace単独よりもオーバーヘッドの少ない安全なサンドボックスを作成します。^{[ 24 ]}
• LXD、コンテナ用のUbuntu「ハイパーバイザー」 ^{[ 25 ] [ 26 ]}
• FirefoxとFirefox OSはseccomp-bpfを使用しています^{[ 27 ] [ 28 ]}
• Torは0.2.5.1-alpha以降seccompをサポートしている^{[ 29 ]}
• Dropboxが開発したJPEG圧縮ツールLeptonはseccompを使用している^{[ 30 ]}
• Kafelは、読み取り可能なポリシーをseccompb-bpfバイトコードに変換する設定言語です^{[ 31 ]}
• サブグラフOSはseccomp-bpfを使用している^{[ 32 ] [ 33 ]}
• Flatpakはプロセス分離にseccompを使用する^{[ 34 ]}
• BubblewrapはFlatpakから開発された軽量サンドボックスアプリケーションである^{[ 35 ]}
• minijail ^{[ 36 ]}はプロセス分離にseccompを使用する^{[ 37 ]}
• SydBoxはseccomp-bpf ^{[ 38 ]}を使用して、Exherbo Linuxディストリビューション上のパッケージビルドをサンドボックス化するために使用されるptraceサンドボックスの実行時間とセキュリティを向上させます。
• ファイルタイプを判別するUnixプログラムであるFileは、seccompを使用して実行環境を制限しています^{[ 39 ]}
• Zathuraは、最小限のドキュメントビューアであり、seccompフィルターを使用してさまざまなサンドボックスモードを実装しています^{[ 40 ]}
• GNOMEデスクトップ環境のインデックス作成およびプレビューアプリケーションであるTrackerは、メディアファイルの解析脆弱性の自動的な悪用を防ぐためにseccompを使用しています^{[ 41 ]}

• 公式サイト（アーカイブ）
• GoogleのChromiumサンドボックス、LWN.net、2009年8月、ジェイク・エッジ著
• seccomp-nurse、seccomp をベースにしたサンドボックス フレームワーク
• Documentation/prctl/seccomp_filter.txt （ Linuxカーネルドキュメントの一部）
• Linuxソフトウェアのセキュリティ徹底解説：セキュリティバグの防止と軽減