Seccomp là gì? Bảo vệ Container Docker của bạn 'chuẩn từng syscall'!

Lê Lân

24/07/2025

Seccomp Trong Linux Và Vai Trò Quan Trọng Đối Với Bảo Mật Container

Mở Đầu

Trong bối cảnh các ứng dụng hiện đại ngày càng vận hành dưới dạng container, bảo mật môi trường chạy container trở thành một yếu tố tối quan trọng. Một trong những công cụ hiệu quả nhất nhưng thường bị bỏ qua trong việc gia cố bảo mật cho container Linux chính là seccomp (Secure Computing Mode).

Seccomp cho phép thiết lập bộ lọc các lệnh gọi hệ thống (syscall) một cách chi tiết và chặt chẽ, giúp giới hạn những tương tác mà ứng dụng có thể thực hiện với kernel. Bài viết này sẽ đi sâu vào cách hoạt động của seccomp, tầm quan trọng của nó trong môi trường sản xuất thực tế, và cách tận dụng seccomp hiệu quả qua Docker. Bạn sẽ học được cách kiểm tra, tùy chỉnh và áp dụng chính sách bảo mật ở mức syscall, đảm bảo container hoạt động với quyền hạn tối thiểu cần thiết.

Seccomp Là Gì?

Seccomp là một tính năng của kernel Linux cho phép các tiến trình giới hạn danh sách syscall mà chúng được phép thực hiện. Mặc định, một tiến trình Linux có thể gọi hàng trăm syscall khác nhau, tuy nhiên hầu hết ứng dụng chỉ dùng một phần nhỏ trong số đó.

Tác Dụng Khi Sử Dụng Seccomp

Giảm bề mặt tấn công của kernel

Ngăn chặn các lỗ hổng khai thác trốn thoát khỏi container

Thi hành nguyên tắc quyền hạn tối thiểu ở cấp độ syscall

Điều này đặc biệt quan trọng trong môi trường container, nơi mọi ứng dụng đều chia sẻ kernel với hệ thống host. Dù đã có các lớp cách ly khác như namespace và cgroups, nhưng việc không kiểm soát syscall vẫn tiềm ẩn rủi ro nghiêm trọng như leo thang quyền hạn hoặc tấn công từ bên trong container.

Các Chế Độ Hoạt Động Của Seccomp

Seccomp có hai chế độ chính:

1. Chế Độ Strict

Đây là chế độ ban đầu được kích hoạt qua lệnh prctl . Trong chế độ này, tiến trình chỉ được phép gọi duy nhất 4 syscall:

read(2)

write(2)

_exit(2)

sigreturn(2)

Chế độ này rất hạn chế và thường chỉ dùng trong các trường hợp học thuật hoặc thiết bị nhúng, không phù hợp với phần lớn ứng dụng hiện nay.

2. Chế Độ Filter (seccomp-bpf)

Đây là chế độ hiện đại và được sử dụng phổ biến, đặc biệt trong các nền tảng như Docker và Kubernetes. Chế độ này sử dụng chương trình Berkeley Packet Filter (BPF) để đánh giá syscall theo thời gian thực, cho phép:

Cho phép hoặc chặn syscall

Ghi lại (log) hoặc trả lỗi tùy thuộc vào từng syscall, đối số và ngữ cảnh

Tại Sao Seccomp Lại Quan Trọng Đối Với Bảo Mật Container?

Trong môi trường container, kernel là tài nguyên chung nên một container bị xâm nhập và có thể gọi syscall nguy hiểm sẽ đe dọa toàn bộ hệ thống.

Lợi Ích Bảo Mật của Seccomp

Kiểm soát syscall chi tiết: Ngăn không cho container thực hiện các hành động nguy hiểm như tạo socket thô, mount filesystem, hoặc tạo namespace mới.

Giảm thiểu nguy cơ khai thác lỗ hổng: Nhiều lỗ hổng kernel dựa vào các syscall cụ thể, việc chặn chúng làm gián đoạn chuỗi tấn công.

Phòng thủ nhiều lớp: Seccomp cung cấp lớp bảo vệ syscall bổ sung cho các cơ chế như AppArmor, SELinux hay user namespaces.

Hỗ trợ tuân thủ và kiểm toán: Quản trị viên có thể chứng minh được việc kiểm soát chặt chẽ hành vi của ứng dụng ở mức syscall.

Seccomp là một thành phần cốt lõi trong việc xây dựng hệ thống container sản xuất an toàn và đáng tin cậy.

Docker Và Cách Áp Dụng Seccomp

Docker tự động áp dụng một profile seccomp mặc định cho tất cả container, trừ khi người dùng chủ động ghi đè. Profile này do dự án Moby duy trì, có xu hướng thận trọng khi chặn khoảng 44 syscall trên hơn 300 syscall phổ biến của kiến trúc x86_64.

Các Syscall Bị Chặn Mặc Định

Syscall	Mục đích
`keyctl`	Quản lý khoá kernel
`add_key` , `request_key`	Quản lý khoá kernel
`ptrace`	Theo dõi và gỡ lỗi tiến trình
`mount`	Gắn kết hệ thống tập tin, trừ khi bật rõ

Bạn có thể xem toàn bộ profile chính thức tại đây .

Cấu Trúc Một Profile seccomp.json

Một profile seccomp được định nghĩa dưới dạng tài liệu JSON chứa các quy tắc syscall.

Trường	Ý nghĩa
defaultAction	Hành động mặc định khi syscall không được liệt kê: lỗi, kill hay cho phép
architectures	Các kiến trúc CPU áp dụng (ví dụ: x86_64)
syscalls	Danh sách các syscall và hành động riêng biệt

Ví Dụ Minimal

{
  "defaultAction": "SCMP_ACT_ERRNO",
  "architectures": ["SCMP_ARCH_X86_64"],
  "syscalls": [
    {
      "name": "mkdir",
      "action": "SCMP_ACT_ERRNO",
      "args": []
    }
  ]
}

Profile trên sẽ chặn syscall mkdir ở mọi tình huống, trả về lỗi cho tiến trình.

Cách Sử Dụng Profile Seccomp Tùy Chỉnh Trong Docker

Bạn có thể chạy container với một profile seccomp đã tùy chỉnh như sau:

docker run --security-opt seccomp=/path/to/custom-seccomp.json your-image

Để vô hiệu hoá seccomp hoàn toàn (không khuyến khích dùng ngoài môi trường debug):

docker run --security-opt seccomp=unconfined your-image

Ví Dụ: Chặn Các Syscall Liên Quan Đến Mạng

Dưới đây là một profile ngăn chặn truy cập mạng bằng cách chặn syscall socket , connect cùng mkdir :

{
  "defaultAction": "SCMP_ACT_ERRNO",
  "architectures": ["SCMP_ARCH_X86_64"],
  "syscalls": [
    { "name": "socket", "action": "SCMP_ACT_ERRNO" },
    { "name": "connect", "action": "SCMP_ACT_ERRNO" },
    { "name": "mkdir", "action": "SCMP_ACT_ERRNO" }
  ]
}

Khi dùng profile này:

Các thao tác sử dụng socket như ping , curl sẽ không thực hiện được.

Lệnh tạo thư mục mkdir cũng thất bại, kể cả khi chạy dưới quyền root.

Các syscall khác không được liệt kê sẽ trả lỗi "permission denied".

Những Thực Hành Tối Ưu Khi Dùng Seccomp

Bắt đầu với profile mặc định của Docker và điều chỉnh dần dần dựa trên phân tích runtime.

Sử dụng các công cụ theo dõi syscall như strace , sysdig hoặc bpftrace để xác định syscall cần thiết.

Tránh chặn quá sớm những syscall có thể cần trong giai đoạn khởi động hoặc khởi tạo ứng dụng.

Theo dõi phiên bản và kiểm tra định kỳ profile cùng với mã hạ tầng của bạn.

Kết hợp seccomp với các cơ chế bảo mật khác (AppArmor, SELinux, cgroups, capabilities) để tăng cường phòng thủ đa lớp.

Không nên xem seccomp như biện pháp duy nhất mà hãy coi nó là phần không thể thiếu của chiến lược bảo mật tổng thể.

Nâng Cao: Lọc Có Điều Kiện Bằng Tham Số `args`

Bạn có thể áp dụng quy tắc dựa trên các tham số syscall để lọc chính xác hơn. Ví dụ, chỉ cho phép socket với một số kiểu socket nhất định:

{
  "name": "socket",
  "action": "SCMP_ACT_ERRNO",
  "args": [
    { "index": 0, "value": 2, "op": "SCMP_CMP_EQ" },
    { "index": 1, "value": 1, "op": "SCMP_CMP_EQ" }
  ]
}

Ở đây, index tương ứng với chỉ số đối số syscall, với 2 và 1 đại diện cho các giá trị AF_INET và SOCK_STREAM (socket IPv4 TCP).

Kết Luận

Seccomp là công cụ thiết yếu giúp kiểm soát syscall mà container được phép thực hiện, từ đó giảm thiểu bề mặt tấn công và thực thi nguyên tắc quyền hạn tối thiểu. Trong kỷ nguyên container hóa, nơi biên giới cách ly ít rõ ràng hơn máy ảo truyền thống, việc hiểu và áp dụng seccomp hiệu quả sẽ giúp bạn xây dựng hệ thống an toàn và đáng tin cậy hơn.

Hãy bắt đầu với profile mặc định, theo dõi và phân tích nhu cầu syscall cụ thể của ứng dụng bạn, biến seccomp thành một phần quan trọng trong chiến lược bảo mật container của bạn.

Tham Khảo

Default Docker Seccomp Profile (Moby Project)

strace syscall tracer

Sysdig Open Source

OCI Runtime Spec: Seccomp

June 1, 2024