我正在编写一个产生子进程的程序。出于安全原因,我想限制这些进程可以做什么。我知道来自程序外部的安全措施,例如chrootor ulimit,但我想做更多的事情。我想限制子进程完成的系统调用(例如防止调用open(),fork()等等)。有没有办法做到这一点?最理想的情况是,被阻塞的系统调用应该返回一个错误,但如果这是不可能的,那么终止进程也是好的。
我想它可以做到,但从ptrace()手册页我真的不明白如何使用它来达到这个目的。
问问题
3059 次
2 回答
8
听起来SECCOMP_FILTER是在内核版本 3.5 中添加的,是您所追求的。该libseccomp库为此功能提供了一个易于使用的 API。
顺便说一句,chroot()这setrlimit()两个系统调用都可以在您的程序中调用 - 除了 seccomp 过滤之外,您可能还想使用其中一个或两个。
于 2012-11-12T12:07:04.010 回答
5
如果你想这样做ptrace,你有一些选择(有些非常简单)。首先,我建议您按照此处解释的教程进行操作。有了它,您可以了解如何知道正在调用哪些系统调用,以及基本ptrace知识(不用担心,这是一个非常简短的教程)。您拥有的选项(我知道)如下:
- 最简单的方法是杀死孩子,这就是这里的确切代码。
- 其次,您可以让孩子失败,只需使用 更改寄存器
PTRACE_SETREGS,将错误的值放入其中,并且您还可以根据需要更改系统调用的返回值(再次,使用PTRACE_SETREGS)。 - 最后你可以跳过系统调用。但为此,您应该知道系统调用调用后的地址,将指令寄存器指向那里并设置它(再次,用
PTRACE_SETREGS)。
于 2012-11-12T19:06:31.827 回答