Sandbox 외부의 공격으로부터 시스템을 보호하기위해 설계된 기법 : allow list/ deny list 둘 중 선택하여 적용 가능 -> sandbox 메커니즘 중 하나 : SECCOMP seccomp (secure computing mode) 리눅스 커널에서 sandboxing 매커니즘을 제공하는 컴퓨터 보안 기능 -> 어플리케이션에서 불필요한 시스템 콜의 호출을 방지할 수 있다! STRICT_MODE read, write, exit, sigreturn 시스템 콜의 호출만을 허용 -> 이외의 것은 sigkill 시그널로 프로그램 종료 #include #include #include #include // prctl함수를 통해 STRICT_MODE설정 void init_filter() { prctl(..
