Pourquoi y a-t-il des événements «seccomp» liés à Google Chrome dans syslog?

8

Était dans mon syslog aujourd'hui et a remarqué que le navigateur Web Google Chrome crée des tonnes d'événements qui ressemblent à ceci:

Dec  7 13:11:02 mycomp-sys76 kernel: [ 8371.604406] type=1701 audit(1354903862.279:314): auid=4294967295 uid=1000 gid=1000 ses=4294967295 pid=8859 comm="chrome" reason="seccomp" sig=0 syscall=4 compat=0 ip=0x7f8ebb41b205 code=0x50000
Dec  7 13:11:02 mycomp-sys76 kernel: [ 8371.604408] type=1701 audit(1354903862.279:315): auid=4294967295 uid=1000 gid=1000 ses=4294967295 pid=8859 comm="chrome" reason="seccomp" sig=0 syscall=4 compat=0 ip=0x7f8ebb41b205 code=0x50000
Dec  7 13:11:02 mycomp-sys76 kernel: [ 8371.604411] type=1701 audit(1354903862.279:316): auid=4294967295 uid=1000 gid=1000 ses=4294967295 pid=8859 comm="chrome" reason="seccomp" sig=0 syscall=4 compat=0 ip=0x7f8ebb41b205 code=0x50000
Dec  7 13:11:02 mycomp-sys76 kernel: [ 8371.604413] type=1701 audit(1354903862.279:317): auid=4294967295 uid=1000 gid=1000 ses=4294967295 pid=8859 comm="chrome" reason="seccomp" sig=0 syscall=4 compat=0 ip=0x7f8ebb41b205 code=0x50000
Dec  7 13:11:02 mycomp-sys76 kernel: [ 8371.810789] type=1701 audit(1354903862.487:318): auid=4294967295 uid=1000 gid=1000 ses=4294967295 pid=8868 comm="chrome" reason="seccomp" sig=0 syscall=4 compat=0 ip=0x7f8ebb41b205 code=0x50000

Tout le monde sait ce que c'est et s'ils posent problème et comment les faire disparaître (sans simplement désactiver la journalisation du noyau?)

HDave
la source

Réponses:

4

Ce ne sont que les événements d'audit de journalisation du noyau de seccomp dans le sandbox de Chrome.

De Wikipédia :

seccomp (abréviation de mode informatique sécurisé) est un mécanisme de sandboxing simple pour le noyau Linux. Il a été ajouté dans le noyau Linux 2.6.12 le 8 mars 2005.

Il permet à un processus de faire une transition unidirectionnelle dans un état "sécurisé" où il ne peut effectuer aucun appel système, sauf exit (), sigreturn (), read () et write () vers des descripteurs de fichiers déjà ouverts. S'il essaie d'autres appels système, le noyau terminera le processus avec SIGKILL.

En ce sens, il ne virtualise pas les ressources du système mais en isole entièrement le processus.


Google explore l'utilisation de seccomp pour sandboxer son navigateur Web Chrome.

Depuis Chrome version 20, seccomp est utilisé pour sandboxer Adobe Flash Player. Depuis Chrome version 23, seccomp est utilisé pour sandboxer les moteurs de rendu.

Voir également:

Eric Carvalho
la source
C'est très cool ... donc il y a autant de ces entrées seccomp qu'il y a d'onglets chrome / processus enfants, oui? Est-il possible de les désactiver?
Enregistrez
Je ne sais pas s'il est possible de faire taire ces messages, car ils sont envoyés par le noyau lui-même. Peut-être que rsyslog a des capacités de filtrage.
Eric Carvalho
vous pouvez les filtrer assez facilement, sur mon système, j'ai fait un /etc/rsyslog.d/30-seccomp.conffichier avec le contenu de if $msg contains ' comm="chrom' then /var/log/chrome-seccomp.log 2 & ~assurez-vous que le & ~ est sur la deuxième ligne.
EdgeCaseBerg