New guide released: seccomp

https://www.learnbyfixing.com/guides/seccomp/

Seccomp reduces a container's attack surface by restricting the system calls a process can make.

Docker enables it by default, yet many engineers are not familiar with how it works.

If you work with containers, understanding seccomp is a valuable addition to your security toolbox.

#LearnByFixing #Docker #Seccomp #DevOps #DevSecOps

Seccomp Guide | Learn by Fixing

A guide to seccomp: what it is, how it works in Docker containers, how to use custom seccomp profiles, and how to disable it.

Learn by Fixing
Mitigating CVE-2026-31431 ("Copy Fail") in Docker Engine

Learn how Docker Engine mitigates CVE-2026-31431 “Copy Fail” for containers on unpatched Linux kernels using seccomp, AppArmor, and SELinux hardening.

Docker

[Перевод] От capabilities к AppArmor: что реально остановит атакующего в контейнере

Скомпрометированный контейнер — это момент истины для всех настроек безопасности: злоумышленник уже внутри, команды выполняются, и дальше важно понять, что действительно ограничит его действия. В этой статье на одной рабочей нагрузке разбирается, как capabilities, seccomp и AppArmor закрывают разные участки атаки в Kubernetes, где каждый механизм упирается в свои пределы и почему защита контейнеров работает только как набор слоёв. Разобрать защиту

https://habr.com/ru/companies/otus/articles/1039572/

#безопасность_Kubernetes #безопасность_контейнеров #container_security #capabilities #seccomp #LSM #AppArmor #securityContext #защита_кластера

От capabilities к AppArmor: что реально остановит атакующего в контейнере

Представьте себе обычный контейнер с веб-приложением. В нём есть уязвимость, злоумышленник получает возможность выполнять команды — и дальше начинается самое интересное: что именно его остановит? Не в...

Хабр

OpenAI says Windows lacked the sandboxing tools Linux already had

https://fed.brid.gy/r/https://nerds.xyz/2026/05/openai-linux-windows-codex-sandbox/

コンテナ向けセキュリティプロファイル生成ツールの紹介 - Qiita

はじめに 記事を開いていただきありがとうございます。三菱電機の佐々木です。 本記事では、デーモンレスなコンテナエンジンであるPodmanを対象に、コンテナ向けセキュリティプロファイルの作成を支援するツールについて紹介します。具体的には、seccomp用のoci-secco...

Qiita
🥤🔒 Ah, the classic showdown: FreeBSD's #Capsicum vs. Linux's #Seccomp. It's the digital equivalent of debating whether a potato is a superior #security measure to a tomato. Spoiler alert: both are vegetables. 🥔🍅
https://vivianvoss.net/blog/capsicum-vs-seccomp #FreeBSD #Linux #Debate #Tech #Humor #HackerNews #ngated
Capsicum vs seccomp: Process Sandboxing — Vivian Voss

A compromised process inherits the full authority of the user who launched it. Two operating systems fixed this with opposite philosophies. One removed the doors. The other posted a bouncer.

Vivian Voss
Capsicum vs seccomp: Process Sandboxing — Vivian Voss

A compromised process inherits the full authority of the user who launched it. Two operating systems fixed this with opposite philosophies. One removed the doors. The other posted a bouncer.

Vivian Voss
Capsicum vs seccomp — capability vs syscall‑based sandboxing #FreeBSD #Linux #capsicum #seccomp
https://vivianvoss.net/blog/capsicum-vs-seccomp
Capsicum vs seccomp: Process Sandboxing — Vivian Voss

A compromised process inherits the full authority of the user who launched it. Two operating systems fixed this with opposite philosophies. One removed the doors. The other posted a bouncer.

Vivian Voss
🌕 Linux 沙盒與 Fil-C 整合:實現記憶體安全與系統隔離
➤ 無縫整合記憶體安全與 Linux 沙盒機制
https://fil-c.org/seccomp
本文探討如何結合 Fil-C 的記憶體安全特性與 Linux 的 seccomp 沙盒機制,以提升系統程式的安全性。文章以 OpenSSH 的 seccomp 沙盒為例,說明瞭如何在 Fil-C 環境中實現傳統 Linux 沙盒技術,並解決了 Fil-C 運行時線程管理與 seccomp 過濾器不兼容的挑戰,最終達成更嚴謹的系統隔離與安全防護。
+ 這篇文章解釋得很清楚,終於理解了沙盒和記憶體安全為何是正交的概念,並且看到了 Fil-C 如何克服傳統沙盒的限制。
+ 將 seccomp 應用於 Fil-C 很有啟發性,特別是處理運行時線程的部分,解決了一個潛在的安全隱憂。
#Linux #沙盒 #記憶體安全 #Fil-C #seccomp
Linux Sandboxes And Fil-C