seccomp

seccomp 是一种内核中的安全机制，正常情况下，程序可以使用所有的 syscall,这是不安全的，比如程序劫持程序流后通过 execve 的 syscall 来 getshell。通过 seccomp 我们可以在程序中禁用掉某些 syscall，这就就算劫持了程序流也只能调用部分的 syscall 了

AppArmor

很多 Linux 发行版默认已安装，确认方式：

systemctl status apparmor

确定系统是否已加载该模块

cat /sys/module/apparmor/parameters/enabledY

是否已应用

cat /sys/kernel/security/apparmor/profiles

其他配置

/etc/apparmor.d

工作模式

1. enforce

2. complain

3. unconfined

常用命令

1. aa-status 已加载的 aa 模块

2. apparmor_parser：这个就是将 AppArmor 配置文件直接加载到内核

3. aa-complain：这个可以把 AppArmor 配置文件设置为 complain 模式

4. aa-enforce：将 AppArmor 配置文件设置为 enforce 模式

5. aa-genprof（需安装 apparmor-utils）