sandbox:简单Linux seccomp规则，无需编写任何代码

沙盒 Linux seccomp变得简单 该软件包提供了一种简单的方法，可以通过环境变量在任何应用程序（甚至是专有应用程序）中启用基本seccomp。 它与SystemCallFilter= 非常相似，但具有一些优点： 它没有一些systemd限制： execve，exit，exit_group，getrlimit，rt_sigreturn，sigreturn系统调用以及用于查询时间和睡眠的系统调用被隐式列入白名单... 它可以为动态链接的二进制文件提供更严格的过滤 建筑 构建系统期望的最新版本可以作为静态库使用。 建议从上游源构建它，而不要依赖特定发行版中的版本。 Makefile将在libseccomp目录中查找有效的树和内部版本，因​​此满足依赖关系的最简单方法是在项目目录中执行以下操作： user@dev: ~ /sandbox$ curl -L -O https://gi