Mastodawn

コンテナ向けセキュリティプロファイル生成ツールの紹介
https://qiita.com/kikasas/items/58ebc0da27b2eb7040a7?utm_campaign=popular_items&utm_medium=feed&utm_source=popular_items

#qiita #SELinux #container #AppArmor #SECCOMP #Podman

コンテナ向けセキュリティプロファイル生成ツールの紹介 - Qiita

はじめに記事を開いていただきありがとうございます。三菱電機の佐々木です。本記事では、デーモンレスなコンテナエンジンであるPodmanを対象に、コンテナ向けセキュリティプロファイルの作成を支援するツールについて紹介します。具体的には、seccomp用のoci-secco...

Qiita

N-gated Hacker News Mar 9

🥤🔒 Ah, the classic showdown: FreeBSD's #Capsicum vs. Linux's #Seccomp. It's the digital equivalent of debating whether a potato is a superior #security measure to a tomato. Spoiler alert: both are vegetables. 🥔🍅
https://vivianvoss.net/blog/capsicum-vs-seccomp #FreeBSD #Linux #Debate #Tech #Humor #HackerNews #ngated

Capsicum vs seccomp: Process Sandboxing — Vivian Voss

A compromised process inherits the full authority of the user who launched it. Two operating systems fixed this with opposite philosophies. One removed the doors. The other posted a bouncer.

Vivian Voss

Hacker News Mar 9

FreeBSD Capsicum vs. Linux Seccomp Process Sandboxing

https://vivianvoss.net/blog/capsicum-vs-seccomp

#HackerNews #FreeBSD #Seccomp #Sandboxing #Capsicum #Linux #Security

Capsicum vs seccomp: Process Sandboxing — Vivian Voss

A compromised process inherits the full authority of the user who launched it. Two operating systems fixed this with opposite philosophies. One removed the doors. The other posted a bouncer.

Vivian Voss

Martin Bishop Mar 4

Capsicum vs seccomp — capability vs syscall‑based sandboxing #FreeBSD #Linux #capsicum #seccomp
https://vivianvoss.net/blog/capsicum-vs-seccomp

Capsicum vs seccomp: Process Sandboxing — Vivian Voss

A compromised process inherits the full authority of the user who launched it. Two operating systems fixed this with opposite philosophies. One removed the doors. The other posted a bouncer.

Vivian Voss

GripNews Dec 14

🌕 Linux 沙盒與 Fil-C 整合：實現記憶體安全與系統隔離
➤ 無縫整合記憶體安全與 Linux 沙盒機制
✤ https://fil-c.org/seccomp
本文探討如何結合 Fil-C 的記憶體安全特性與 Linux 的 seccomp 沙盒機制，以提升系統程式的安全性。文章以 OpenSSH 的 seccomp 沙盒為例，說明瞭如何在 Fil-C 環境中實現傳統 Linux 沙盒技術，並解決了 Fil-C 運行時線程管理與 seccomp 過濾器不兼容的挑戰，最終達成更嚴謹的系統隔離與安全防護。
+ 這篇文章解釋得很清楚，終於理解了沙盒和記憶體安全為何是正交的概念，並且看到了 Fil-C 如何克服傳統沙盒的限制。
+ 將 seccomp 應用於 Fil-C 很有啟發性，特別是處理運行時線程的部分，解決了一個潛在的安全隱憂。
#Linux #沙盒 #記憶體安全 #Fil-C #seccomp

Linux Sandboxes And Fil-C

Marek Dec 8

I have developed mping-sender over the last few days. It is a simple program that sends a UDP packet to a (freely selectable) multicast address every second. It is therefore well suited for testing multicast. It is partially compatible with the mping client.

Furthermore, it is protected by landlock, seccomp, libcap-ng, AppArmor, and systemd.

Source code: https://codeberg.org/mark22k/mping-sender

#Networking #Programming #dn42 #Multicast #landlock #AppArmor #libseccomp #seccomp #systemd #libcapng

mping-sender

a simple multicast transmitter that sends a UDP packet every second.

Codeberg.org

Marek Nov 19

crazytrace, my network simulation program that generates a crazy topology behind a TAP device to test traceroute implementations, now has an apparmor profile.

Furthermore, I have now implemented capability dropping with libcap-ng, landlock sandboxing (via a blacklist), and seccomp sandboxing (via a blacklist).

https://codeberg.org/mark22k/crazytrace/src/commit/c5eb9eaf8b12266ecad3c3d1e0cd5388f351cc72/apparmor/usr.bin.crazytrace
https://codeberg.org/mark22k/crazytrace/src/commit/c5eb9eaf8b12266ecad3c3d1e0cd5388f351cc72/src/main.cpp

#crazytrace #traceroute #Networking #Programming #Security #apparmor #libcap #libcapng #landlock #seccomp

crazytrace/apparmor/usr.bin.crazytrace at c5eb9eaf8b12266ecad3c3d1e0cd5388f351cc72

crazytrace - What happens if a traceroute with the same TTL/hop limit is received from two different source addresses? How will they react?

Codeberg.org

Habr Oct 10

[Перевод] Как защитить Kubernetes на уровне ядра Linux

Как защитить Kubernetes, если злоумышленник попытается выбраться из контейнера на хост? Рафаэль Натали предлагает многоуровневый подход: настройка Security Context, отказ от лишних прав, запуск контейнеров без root-доступа, а также усиление защиты с помощью AppArmor и seccomp.

https://habr.com/ru/companies/flant/articles/952012/

#security_contexts #apparmor #seccomp #kubernetes #noroot_containers #linux_namespace #runAsUser #безопасность_kubernetes #linux

Как защитить Kubernetes на уровне ядра Linux

От переводчика: контексты безопасности (security contexts) в Kubernetes позволяют настраивать параметры безопасности на уровне пода или контейнера. Некоторые из них вполне очевидны, другие — не совсем...

Хабр

Habr Sep 6, 2025

Строим лабораторию по исследованию вирусов с eBPF и другими

Хабр, всем привет! Когда инфраструктура созрела до состояния персика и уже пора расширять классический SOC или вам всегда было интересно, как работает ВПО, то необходимо переходить к Threat Intelligence! Сегодня мы соберем свою лабу по исследованию вирусни/инструментов и процедур(PoC) в виртуальной среде для Linux-платформ.

https://habr.com/ru/companies/serverspace/articles/944614/

#linux #вирус #песочница #sandbox #ebpf #seccomp #podman #виртуализация #tcpdump #iptables

Строим лабораторию по исследованию вирусов с eBPF и другими

Хабр

Habr Sep 5, 2025

Строим лабораторию по исследованию ВПО

Хабр, всем привет! Когда инфраструктура созрела до состояния персика и уже пора расширять классический SOC или вам всегда было интересно, как работает ВПО, то пора переходить к Threat Intelligence! Сегодня мы соберем свою лабу по исследованию вирусни/инструментов и процедур(PoC) в виртуальной среде для Linux-платформ. Материал пригодиться, для понимания работы ВПО, написания митигации и детекции против них, а так же поиска паттернов в вашей инфраструктуре! На выходе мы получим список из артефактов, которые сможем использовать в работе.

https://habr.com/ru/companies/serverspace/articles/944056/

#linux #вирусы #песочница #sandbox #ebpf #seccomp #podman #виртуализация #tcpdump #iptables

Строим лабораторию по исследованию ВПО

Хабр