jail/seccomp-bpf.h

   1 /*
   2  * seccomp example for x86 (32-bit and 64-bit) with BPF macros
   3  *
   4  * Copyright (c) 2012 The Chromium OS Authors <chromium-os-dev@chromium.org>
   5  * Authors:
   6  *  Will Drewry <wad@chromium.org>
   7  *  Kees Cook <keescook@chromium.org>
   8  *
   9  * Use of this source code is governed by a BSD-style license that can be
  10  * found in the LICENSE file.
  11  */
  12 #ifndef _SECCOMP_BPF_H_
  13 #define _SECCOMP_BPF_H_
  14
  15 #define _GNU_SOURCE 1
  16 #include <stdio.h>
  17 #include <stddef.h>
  18 #include <stdlib.h>
  19 #include <errno.h>
  20 #include <signal.h>
  21 #include <string.h>
  22 #include <unistd.h>
  23 #include <endian.h>
  24
  25 #include <sys/prctl.h>
  26 #ifndef PR_SET_NO_NEW_PRIVS
  27 # define PR_SET_NO_NEW_PRIVS 38
  28 #endif
  29
  30 #include <linux/unistd.h>
  31 #include <linux/audit.h>
  32 #include <linux/filter.h>
  33
  34 #ifdef HAVE_LINUX_SECCOMP_H
  35 # include <linux/seccomp.h>
  36 #endif
  37
  38 #ifndef SECCOMP_MODE_FILTER
  39 #define SECCOMP_MODE_FILTER     2 /* uses user-supplied filter. */
  40 #define SECCOMP_RET_KILL        0x00000000U /* kill the task immediately */
  41 #define SECCOMP_RET_TRAP        0x00030000U /* disallow and force a SIGSYS */
  42 #define SECCOMP_RET_ERRNO       0x00050000U /* returns an errno */
  43 #define SECCOMP_RET_LOG         0x00070000U
  44 #define SECCOMP_RET_TRACE       0x7ff00000U /* pass to a tracer or disallow */
  45 #define SECCOMP_RET_ALLOW       0x7fff0000U /* allow */
  46 #define SECCOMP_RET_ERROR(x)    (SECCOMP_RET_ERRNO | ((x) & 0x0000ffffU))
  47 #define SECCOMP_RET_LOGGER(x)   (SECCOMP_RET_LOG | ((x) & 0x0000ffffU))
  48
  49 struct seccomp_data {
  50     int nr;
  51     __u32 arch;
  52     __u64 instruction_pointer;
  53     __u64 args[6];
  54 };
  55 #endif
  56
  57 #ifndef SYS_SECCOMP
  58 # define SYS_SECCOMP 1
  59 #endif
  60
  61 #define syscall_nr (offsetof(struct seccomp_data, nr))
  62 #define arch_nr (offsetof(struct seccomp_data, arch))
  63
  64 #if defined(__i386__)
  65 # define REG_SYSCALL    REG_EAX
  66 # define ARCH_NR        AUDIT_ARCH_I386
  67 #elif defined(__x86_64__)
  68 # define REG_SYSCALL    REG_RAX
  69 # define ARCH_NR        AUDIT_ARCH_X86_64
  70 #elif defined(__mips__)
  71 # define REG_SYSCALL    regs[2]
  72 # if __BYTE_ORDER == __LITTLE_ENDIAN
  73 #  define ARCH_NR       AUDIT_ARCH_MIPSEL
  74 # else
  75 #  define ARCH_NR       AUDIT_ARCH_MIPS
  76 # endif
  77 #elif defined(__arm__) && (defined(__ARM_EABI__) || defined(__thumb__))
  78 # define REG_SYSCALL    regs.uregs[7]
  79 # if __BYTE_ORDER == __LITTLE_ENDIAN
  80 #  define ARCH_NR       AUDIT_ARCH_ARM
  81 # else
  82 #  define ARCH_NR       AUDIT_ARCH_ARMEB
  83 # endif
  84 #else
  85 # warning "Platform does not support seccomp filter yet"
  86 # define REG_SYSCALL    0
  87 # define ARCH_NR        0
  88 #endif
  89
  90 #endif /* _SECCOMP_BPF_H_ */