应用沙盒seccomp的使用

应用沙盒原理参考https://zhuanlan.zhihu.com/p/513688516

1、什么是Seccomp？

seccomp 是 secure computing 的缩写，其是 Linux kernel 从2.6.23版本引入的一种简洁的 sandboxing 机制。

系统调用：

在Linux中，将程序的运行空间分为内核与用户空间（内核态和用户态），在逻辑上它们之间是相互隔离的，因此用户程序不能访问内核数据，也无法使用内核函数。系统调用就是一种特殊的接口。通过这个接口，用户可以访问内核空间。系统调用规定了用户进程进入内核的具体位置。

具体步骤：用户进程–>系统调用–>内核–>返回用户空间

使用方式参考https://www.jianshu.com/p/499d6b808d09

2、linux上的配置与使用