seccomp: dump core when using SECCOMP_RET_KILL
authorMike Frysinger <vapier@chromium.org>
Fri, 20 Jan 2017 04:28:57 +0000 (22:28 -0600)
committerJames Morris <james.l.morris@oracle.com>
Mon, 23 Jan 2017 10:42:42 +0000 (21:42 +1100)
commitb25e67161c295c98acda92123b2dd1e7d8642901
tree21b5f11e53c1e0b390c3a72460b6e1c2174fa767
parentd69dece5f5b6bc7a5e39d2b6136ddc69469331fe
seccomp: dump core when using SECCOMP_RET_KILL

The SECCOMP_RET_KILL mode is documented as immediately killing the
process as if a SIGSYS had been sent and not caught (similar to a
SIGKILL).  However, a SIGSYS is documented as triggering a coredump
which does not happen today.

This has the advantage of being able to more easily debug a process
that fails a seccomp filter.  Today, most apps need to recompile and
change their filter in order to get detailed info out, or manually run
things through strace, or enable detailed kernel auditing.  Now we get
coredumps that fit into existing system-wide crash reporting setups.

From a security pov, this shouldn't be a problem.  Unhandled signals
can already be sent externally which trigger a coredump independent of
the status of the seccomp filter.  The act of dumping core itself does
not cause change in execution of the program.

URL: https://crbug.com/676357
Signed-off-by: Mike Frysinger <vapier@chromium.org>
Acked-by: Jorge Lucangeli Obes <jorgelo@chromium.org>
Acked-by: Kees Cook <keescook@chromium.org>
Signed-off-by: James Morris <james.l.morris@oracle.com>
kernel/seccomp.c