<div dir="ltr"><div dir="auto"><div><div class="gmail_quote"><div class="gmail_attr" dir="ltr">On Tue, Feb 25, 2020, 7:37 AM Richard Laager via devel <<a target="_blank" href="mailto:devel@ntpsec.org">devel@ntpsec.org</a>> wrote:<br></div><blockquote style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex" class="gmail_quote">On 2/24/20 11:02 PM, Hal Murray via devel wrote:<br>
> I'm looking at strace output.  There are a few calls used only once or twice.<br>
> <br>
> It seems obvious that we should drop root as early as possible.  But it's not <br>
> obvious that we should enable seccomp early.<br>
> <br>
> If we turn on seccomp early, then we have to allow all the syscalls used <br>
> during initialization so a bad guy could use them too.<br>
> <br>
> So what are we worried about?  What is seccomp trying to protect against?  <br>
> Bugs in our initialization code before we start exchanging packets, or bugs in <br>
> the mainline code after initialization when the bad guys get to send us <br>
> packets?<br>
<br>
I'd say the latter.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex" class="gmail_quote"></blockquote></div></div><div dir="auto">Is there anything preventing the possibility of an early looser<br>seccomp setup and then tightening it later possibly with a knob<br>to generate terse or verbose warnings instead of dying.<br></div><div dir="auto"><div class="gmail_quote"><blockquote style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex" class="gmail_quote">
</blockquote></div></div></div>
</div>