7.3.14.5 ストレージ・サーバー・プロセスのセキュリティの向上

Oracle Linuxカーネルでのセキュアなコンピューティング(seccomp)機能を使用すると、プロセスから実行できるシステム・コールを制限できます。

Oracle Linuxカーネルには数百のシステム・コールがありますが、ほとんどのプロセスでは必要ありません。seccompフィルタは、システム・コールが許可されるか制限されるかを定義します。seccompフィルタがセル・サーバーにインストールされ、アップグレード時にはセル・オフロード・サーバー・プロセスが自動的にインストールされます。システム・コールの許可リストは、セル・サーバーおよびセル・オフロード・サーバーから実行できます。特定の許可リスト・システム・コールの場合、seccompフィルタは引数の追加検証を実行します。

seccompフィルタを使用すると、セル・プロセスのセキュリティ・レベルが向上します。この機能は、Oracle Exadata System Softwareリリース19.1.0で自動的に有効になります。