Docker BlogMay 27

Mitigating CVE-2026-31431 (“Copy Fail”) in Docker Engine
#Docker #Engineering #AF_ALG #CopyFail #CVE202631431 #Dockerengine #Seccomp #Security #Selinux

https://www.docker.com/blog/mitigating-cve-2026-31431-copy-fail-in-docker-engine/

Mitigating CVE-2026-31431 ("Copy Fail") in Docker Engine

Learn how Docker Engine mitigates CVE-2026-31431 “Copy Fail” for containers on unpatched Linux kernels using seccomp, AppArmor, and SELinux hardening.

Docker
HabrMay 26

[Перевод] От capabilities к AppArmor: что реально остановит атакующего в контейнере

Скомпрометированный контейнер — это момент истины для всех настроек безопасности: злоумышленник уже внутри, команды выполняются, и дальше важно понять, что действительно ограничит его действия. В этой статье на одной рабочей нагрузке разбирается, как capabilities, seccomp и AppArmor закрывают разные участки атаки в Kubernetes, где каждый механизм упирается в свои пределы и почему защита контейнеров работает только как набор слоёв. Разобрать защиту

https://habr.com/ru/companies/otus/articles/1039572/

#безопасность_Kubernetes #безопасность_контейнеров #container_security #capabilities #seccomp #LSM #AppArmor #securityContext #защита_кластера

От capabilities к AppArmor: что реально остановит атакующего в контейнере

Представьте себе обычный контейнер с веб-приложением. В нём есть уязвимость, злоумышленник получает возможность выполнять команды — и дальше начинается самое интересное: что именно его остановит? Не в...

Хабр
NERDS.xyz – Real Tech News for Real Nerds [Unofficial]May 13

OpenAI says Windows lacked the sandboxing tools Linux already had

https://fed.brid.gy/r/https://nerds.xyz/2026/05/openai-linux-windows-codex-sandbox/

 Qiita - 人気の記事Mar 18

コンテナ向けセキュリティプロファイル生成ツールの紹介
https://qiita.com/kikasas/items/58ebc0da27b2eb7040a7?utm_campaign=popular_items&utm_medium=feed&utm_source=popular_items

#qiita #SELinux #container #AppArmor #SECCOMP #Podman

コンテナ向けセキュリティプロファイル生成ツールの紹介 - Qiita

はじめに 記事を開いていただきありがとうございます。三菱電機の佐々木です。 本記事では、デーモンレスなコンテナエンジンであるPodmanを対象に、コンテナ向けセキュリティプロファイルの作成を支援するツールについて紹介します。具体的には、seccomp用のoci-secco...

Qiita
N-gated Hacker NewsMar 9
🥤🔒 Ah, the classic showdown: FreeBSD's #Capsicum vs. Linux's #Seccomp. It's the digital equivalent of debating whether a potato is a superior #security measure to a tomato. Spoiler alert: both are vegetables. 🥔🍅
https://vivianvoss.net/blog/capsicum-vs-seccomp #FreeBSD #Linux #Debate #Tech #Humor #HackerNews #ngated
Capsicum vs seccomp: Process Sandboxing — Vivian Voss

A compromised process inherits the full authority of the user who launched it. Two operating systems fixed this with opposite philosophies. One removed the doors. The other posted a bouncer.

Vivian Voss
Hacker NewsMar 9

FreeBSD Capsicum vs. Linux Seccomp Process Sandboxing

https://vivianvoss.net/blog/capsicum-vs-seccomp

#HackerNews #FreeBSD #Seccomp #Sandboxing #Capsicum #Linux #Security

Capsicum vs seccomp: Process Sandboxing — Vivian Voss

A compromised process inherits the full authority of the user who launched it. Two operating systems fixed this with opposite philosophies. One removed the doors. The other posted a bouncer.

Vivian Voss
Martin BishopMar 4
Capsicum vs seccomp — capability vs syscall‑based sandboxing #FreeBSD #Linux #capsicum #seccomp
https://vivianvoss.net/blog/capsicum-vs-seccomp
Capsicum vs seccomp: Process Sandboxing — Vivian Voss

A compromised process inherits the full authority of the user who launched it. Two operating systems fixed this with opposite philosophies. One removed the doors. The other posted a bouncer.

Vivian Voss
GripNewsDec 14
🌕 Linux 沙盒與 Fil-C 整合:實現記憶體安全與系統隔離
➤ 無縫整合記憶體安全與 Linux 沙盒機制
https://fil-c.org/seccomp
本文探討如何結合 Fil-C 的記憶體安全特性與 Linux 的 seccomp 沙盒機制,以提升系統程式的安全性。文章以 OpenSSH 的 seccomp 沙盒為例,說明瞭如何在 Fil-C 環境中實現傳統 Linux 沙盒技術,並解決了 Fil-C 運行時線程管理與 seccomp 過濾器不兼容的挑戰,最終達成更嚴謹的系統隔離與安全防護。
+ 這篇文章解釋得很清楚,終於理解了沙盒和記憶體安全為何是正交的概念,並且看到了 Fil-C 如何克服傳統沙盒的限制。
+ 將 seccomp 應用於 Fil-C 很有啟發性,特別是處理運行時線程的部分,解決了一個潛在的安全隱憂。
#Linux #沙盒 #記憶體安全 #Fil-C #seccomp
Linux Sandboxes And Fil-C

MarekDec 8

I have developed mping-sender over the last few days. It is a simple program that sends a UDP packet to a (freely selectable) multicast address every second. It is therefore well suited for testing multicast. It is partially compatible with the mping client.

Furthermore, it is protected by landlock, seccomp, libcap-ng, AppArmor, and systemd.

Source code: https://codeberg.org/mark22k/mping-sender

#Networking #Programming #dn42 #Multicast #landlock #AppArmor #libseccomp #seccomp #systemd #libcapng

mping-sender

a simple multicast transmitter that sends a UDP packet every second.

Codeberg.org
MarekNov 19, 2025

crazytrace, my network simulation program that generates a crazy topology behind a TAP device to test traceroute implementations, now has an apparmor profile.

Furthermore, I have now implemented capability dropping with libcap-ng, landlock sandboxing (via a blacklist), and seccomp sandboxing (via a blacklist).

https://codeberg.org/mark22k/crazytrace/src/commit/c5eb9eaf8b12266ecad3c3d1e0cd5388f351cc72/apparmor/usr.bin.crazytrace
https://codeberg.org/mark22k/crazytrace/src/commit/c5eb9eaf8b12266ecad3c3d1e0cd5388f351cc72/src/main.cpp

#crazytrace #traceroute #Networking #Programming #Security #apparmor #libcap #libcapng #landlock #seccomp

crazytrace/apparmor/usr.bin.crazytrace at c5eb9eaf8b12266ecad3c3d1e0cd5388f351cc72

crazytrace - What happens if a traceroute with the same TTL/hop limit is received from two different source addresses? How will they react?

Codeberg.org