Endurecer un sistema Linux con capacidades y seccomp
Visión general
De qué trata este proyecto.
Para cada uno de los 3 servicios, captura el conjunto de syscalls reales en 48 horas de tráfico de staging usando strace o perf-trace agregados. Construye un perfil seccomp por servicio (formato Docker JSON o BPF directo). Identifica el mínimo set de capabilities Linux necesarias (por ejemplo NET_BIND_SERVICE para la API pública, ninguna para el exportador). Verifica que los tests de integración existentes pasan bajo el nuevo perfil. Entrega los 3 perfiles seccomp, los manifiestos Kubernetes endurecidos, una guía de 6 páginas con la metodología y una sección honesta sobre qué syscalls no pudiste restringir y por qué.
El Briefing
Lo que harás y lo que demostrarás.
Aplicar mínimo privilegio mediante capabilities y seccomp a 3 microservicios en producción sin romper su funcionalidad ni su pipeline de despliegue.
Earning criteria — what you'll demonstrate
- Aplicar el principio de mínimo privilegio en sistemas Linux reales
- Usar strace, perf-trace o bpftrace para mapear el comportamiento real de un proceso
- Diseñar perfiles seccomp que bloqueen sin causar EPERM ruidosos
- Comunicar restricciones de seguridad sin frenar la velocidad del equipo
Encaje académico
Dónde encaja esto en tus estudios.
Afina las mismas habilidades que tu titulación espera de ti.
Habilidades
Habilidades que demostrarás.
Cada una aparece en tu credencial verificada.
Carreras
Roles para los que esto te prepara.
Títulos reales. Puentes de habilidades reales. Elige el que más se acerque a tu trayectoria.
Trayectorias profesionales que esto construye
Roles canónicosIngeniero de Software
Endurecer servicios reales con seccomp y capabilities es una habilidad de sistemas que diferencia a perfiles juniores cuando el equipo de seguridad pide aliados técnicos en producto.
Este proyecto afina
- os-security
- linux
- containerization