Sprofiler:ワークロードにフィットしたコンテナのSeccompルール生成システムの開発と評価

飯國, 隆志; 最所, 圭三

WEKO3

lat lon distance

[[sub_check.contents]]

[[sub_radio.contents]]

Field does not validate

[[sub_attr.contents]]　

インデックスツリー

アイテム

Sprofiler:ワークロードにフィットしたコンテナのSeccompルール生成システムの開発と評価

https://ipsj.ixsq.nii.ac.jp/records/211239

名前 / ファイル	ライセンス	アクション
IPSJ-OS21152004.pdf (980.1 kB)	Copyright (c) 2021 by the Information Processing Society of Japan
オープンアクセス

Item type

SIG Technical Reports(1)

公開日

2021-05-20

タイトル

Sprofiler:ワークロードにフィットしたコンテナのSeccompルール生成システムの開発と評価

言語

jpn

キーワード

主題Scheme

Other

主題

ファイルシステム・コンテナ

資源タイプ

資源タイプ識別子

http://purl.org/coar/resource_type/c_18gh

資源タイプ

technical report

著者所属

香川大学

著者所属

香川大学

著者所属(英)

Kagawa Uniersity

著者所属(英)

Kagawa Uniersity

著者名

飯國, 隆志
最所, 圭三

論文抄録

内容記述タイプ

Other

内容記述

近年，コンテナ型仮想環境をプロダクション環境で使用する例が増加している．コンテナ型仮想化はパブリッククラウドのようなマルチテナントな環境で運用するにはセキュリティ問題を抱えている．コンテナランタイムでは，コンテナ-ホスト間でカーネルを共有する特性上，コンテナ内からコンテナホストへの権限昇格攻撃を可能にする脆弱性が生まれやすい．脆弱性がなくとも設定不備によって権限昇格が可能になってしまうこともある．それらの対策として Seccomp によるコンテナ内で発行するシステムコールを制限する方法が挙げられる．しかし，システム管理者がアプリケーションの発行するシステムコールを把握するのは難しい．そのため本研究では，アプリケーションの実行ファイルを解析した結果と実際のコンテナ内で発行されたシステムコールを記録した結果を合わせて，ワークロードに合ったシステムコールの制限ルールをホワイトリストで出力するアプリケーション Sprofiler を提案する．本稿では，Sprofiler の設計，実装および Sprofiler で生成した Seccomp ルールの評価について述べる．

書誌レコードID

収録物識別子タイプ

NCID

収録物識別子

AN10444176

書誌情報

研究報告システムソフトウェアとオペレーティング・システム（OS）

巻 2021-OS-152, 号 4, p. 1-6, 発行日 2021-05-20

ISSN

収録物識別子タイプ

ISSN

収録物識別子

2188-8795

Notice

SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc.

出版者

言語

出版者

情報処理学会

戻る

views

See details

	Views

Versions

Ver.1

2025-01-19 17:52:07.806451

Show All versions

Cite as

エクスポート

OAI-PMH

JPCOAR
DublinCore
DDI

Other Formats

JSON
BIBTEX

インデックスリンク

インデックスツリー

アイテム

Sprofiler:ワークロードにフィットしたコンテナのSeccompルール生成システムの開発と評価

× 飯國, 隆志

× 最所, 圭三

Versions

Share

Cite as

エクスポート