Фильтр системных вызовов seccomp войдет в релиз Ubuntu 12.04
Разработчики seccomp сообщают, что код их продукта включен в дистрибутив Ubuntu 12.04 Beta 2, и в ближайшее время также появится в Chrome OS.
Seccomp — это набор патчей для ядра, позволяющий программам заранее объявить список системных вызовов, которые будут использоваться. В случае если злоумышленник из-за уязвимости в программе получит возможность выполнить произвольный код, seccomp не позволит ему использовать системные вызовы, которые не были объявлены. Seccomp использует Berkley Packet Filter, что в сочетании с проверкой аргументов и возвращаемых значений позволяет реализовать сложную логику проверки.
Имеется пошаговая инструкция, описывающая процесс написания программ с применением seccomp.