upd: add more sandboxing directives to gigi-proxy.service
[gigi.git] / debian / gigi-proxy.service.d / SystemCallFilter.conf
1 [Service]
2 # the system call filter: reset the filter to empty, then each subsequent assignment adds to it
3 SystemCallFilter=
4 # read and write
5 SystemCallFilter=@basic-io
6 # @file-system (systemd commit 1a1b13c957, not in any release yet)
7 SystemCallFilter=open close stat stat64 fstat fstat64 lstat lstat64 creat mkdir getdents getdents64 getcwd access fcntl fcntl64 mmap munmap readlink
8 # event loop (is there data on a socket?)
9 SystemCallFilter=@io-event
10 # network connections
11 SystemCallFilter=@network-io
12 # JIT code generation
13 SystemCallFilter=mprotect brk
14 # signals
15 SystemCallFilter=rt_sigaction rt_sigprocmask
16 # threads
17 SystemCallFilter=clone gettid futex set_robust_list set_tid_address sched_getaffinity sched_setaffinity sched_yield
18 # allow nio to detect platform
19 SystemCallFilter=uname
20 # not sure what these are used for
21 SystemCallFilter=arch_prctl sysinfo setrlimit madvise pipe
22 # don't kill the process when an illegal syscall is issued, just return Operation not permitted
23 SystemCallErrorNumber=EPERM