[devel] Inconvenient seccomp (Was: I: glibc 2.32 && sisyphus snapshot publication skip)

[Alexey Gladkov]

On Fri, Dec 18, 2020 at 11:21:18PM +0300, Andrey Savchenko wrote:
> > Согласен. seccomp очень неудобный механизм. Тут бы пригодилось что-нибудь
> > типа pledge. Для линукса создать бы libpledge и привязать его к libc.
> 
> Как я понял, pledge — это syscall OpenBSD

Да, он родимый.

> и без поддержки со стороны ядра просто либой его не сделать.

Проблема не в новых syscalls, которые появляются в ядре, а в библиотеках
(libc), которые прячут от приложения системные вызовы. Та или иная
библиотечная функция в разное выполнять разные системные вызовы. В такое
ситуации написать seccomp та ещё задача.

> Я только рад буду видеть pledge в Linux, но это маловероятно :( 

На уровне ядра это будет также неюзабильно как и голый seccomp.

-- 
Rgrds, legion

----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : signature.asc
Тип     : application/pgp-signature
Размер  : 195 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20201218/08000b1a/attachment.bin>