[l] Übrigens, kurzes Detail am Rande. Wenn man im Kernel seccomp-filter aktiviert und openssh mit dietlibc kompiliert und den sandbox-Modus in openssh anschaltet, dann geht sshd nicht mehr. Grund ist, dass dietlibc und glibc subtil verschiedene syscalls benutzen. Übliche Verdächtige bei sowas sind mremap, was die dietlibc für ihr realloc benutzt. Oder vielleicht Stellen, an denen glibc neuere Syscalls benutzt, wie z.B. openat() statt open(). Im Falle von openssh war es allerdings humoristisch wertvoll, denn der die Sandbox-Verletzung triggernde System Call war … exit. In der glibc kommt exit_group raus, bei dietlibc exit. Die Sandbox von openssh hat exit_group erlaubt, aber nicht exit. Daher, als die Sandbox schon fertig war, und exit(0) aufrief, killte der Sandboxing-Mechanismus sie. m(