syslogにGoogle Chromeに関連する「seccomp」イベントがあるのはなぜですか?


8

今日は私のsyslogにいて、Google Chrome Webブラウザーが次のような大量のイベントを作成していることがわかりました。

Dec  7 13:11:02 mycomp-sys76 kernel: [ 8371.604406] type=1701 audit(1354903862.279:314): auid=4294967295 uid=1000 gid=1000 ses=4294967295 pid=8859 comm="chrome" reason="seccomp" sig=0 syscall=4 compat=0 ip=0x7f8ebb41b205 code=0x50000
Dec  7 13:11:02 mycomp-sys76 kernel: [ 8371.604408] type=1701 audit(1354903862.279:315): auid=4294967295 uid=1000 gid=1000 ses=4294967295 pid=8859 comm="chrome" reason="seccomp" sig=0 syscall=4 compat=0 ip=0x7f8ebb41b205 code=0x50000
Dec  7 13:11:02 mycomp-sys76 kernel: [ 8371.604411] type=1701 audit(1354903862.279:316): auid=4294967295 uid=1000 gid=1000 ses=4294967295 pid=8859 comm="chrome" reason="seccomp" sig=0 syscall=4 compat=0 ip=0x7f8ebb41b205 code=0x50000
Dec  7 13:11:02 mycomp-sys76 kernel: [ 8371.604413] type=1701 audit(1354903862.279:317): auid=4294967295 uid=1000 gid=1000 ses=4294967295 pid=8859 comm="chrome" reason="seccomp" sig=0 syscall=4 compat=0 ip=0x7f8ebb41b205 code=0x50000
Dec  7 13:11:02 mycomp-sys76 kernel: [ 8371.810789] type=1701 audit(1354903862.487:318): auid=4294967295 uid=1000 gid=1000 ses=4294967295 pid=8868 comm="chrome" reason="seccomp" sig=0 syscall=4 compat=0 ip=0x7f8ebb41b205 code=0x50000

誰もがこれらが何であるか、そしてそれらが問題であるかどうか、そしてそれらを取り除く方法を知っています(カーネルロギングを無効にするだけでなく?)

回答:


4

これは、Chromeのサンドボックスからのseccompのカーネルログ監査イベントです。

ウィキペディアから:

seccomp(セキュアコンピューティングモードの略)は、Linuxカーネルのシンプルなサンドボックスメカニズムです。2005年3月8日にLinuxカーネル2.6.12で追加されました。

これにより、プロセスは「安全な」状態に一方向に移行でき、すでに開いているファイル記述子に対してexit()、sigreturn()、read()およびwrite()以外のシステムコールを実行できません。他のシステムコールを試みた場合、カーネルはSIGKILLでプロセスを終了します。

この意味で、システムのリソースを仮想化するのではなく、プロセスをリソースから完全に分離します。


Googleは、seccompを使用してChromeウェブブラウザをサンドボックス化することを検討しています。

Chromeバージョン20以降、seccompはAdobe Flash Playerのサンドボックスに使用されます。Chromeバージョン23以降、seccompはレンダラーをサンドボックス化するために使用されます。

以下も参照してください。


それはとてもクールです...だから、クロムタブ/子プロセスがあるのと同じくらい多くのseccompエントリがありますね?これらをオフにする方法はありますか?
HDave

これらのメッセージはカーネル自体によって送信されているため、これらのメッセージを沈黙させることが可能かどうかはわかりません。たぶんrsyslogはいくつかのフィルター機能を持っています。
Eric Carvalho

私のシステムでは、&​​〜が2行目に/etc/rsyslog.d/30-seccomp.confあるif $msg contains ' comm="chrom' then /var/log/chrome-seccomp.log 2 & ~ことを確認する内容を含むファイルを作成しました。
EdgeCaseBerg 2015年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.