俺たちの夏休みはこれからだ!(今日が最終日) 前回は ptrace を使用して seccomp による制限を回避してみた 。 今回は seccomp とコンテナの関係、コンテナからホストへの break out についてのメモです。メモなので雑に書いています。 コンテナと seccomp LXC や Docker でも seccomp が利用されており、コンテナを break out する危険があるようなシステムコールを禁止している。 LXCでは非常に小さなポリシーとなっている(これとは別でどこかで自動生成されているのかな…?) https://github.com/lxc/lxc/blob/b96e9ae47aff9a722e1e900851a389b4dd0b4222/config/templates/common.seccomp 2 blacklist reject_force_um
![open_by_handle_at(2) でコンテナから Break Out する](https://cdn-ak-scissors.b.st-hatena.com/image/square/07ef088e85b445a50c543af08d06fdfbf4e005a3/height=288;version=1;width=512/https%3A%2F%2Fblog.ssrf.in%2Fimages%2Ficons%2Ficon-512x512.png)