ลินุกซ์มีseccompคุณลักษณะที่นำมาใช้ในการกรอง syscalls ตามโปรแกรมพิเศษ
มีแม้แต่การสาธิตdropper.cที่อนุญาตให้เริ่มต้นโปรแกรมด้วยหนึ่ง syscall ที่ส่งคืนข้อผิดพลาดที่กำหนด
มีใครบางคนในการนำเอา wrapper seccomp ที่ไม่ได้สาธิตและใช้งานได้มากกว่านี้มาใช้หรือไม่ที่ทำให้ฉันสามารถรันโปรแกรมด้วยบัญชีขาวของ syscalls? คาดหวังสิ่งนี้:
# limit_syscalls access brk close connect dup \
execve exit_group fcntl64 fstat64 getsockname \
getuid32 mmap2 mprotect munmap open read set_thread_area \
setuid32 socket write -- /bin/ping 127.0.0.1