seccomp是一种安全机制，允许进程限制可用的系统调用，分为严格模式和过滤模式。过滤模式使用BPF过滤器来决定允许或拒绝的系统调用。Docker默认使用seccomp配置禁止危险调用。Landlock提供路径级别的访问控制，允许非特权进程使用。libseccomp简化了BPF过滤器的编写。