我正在研究 seccomp-bpf 的实现细节,这是从 3.5 版开始引入 Linux 的系统调用过滤机制。我从 Linux 3.10 查看了 kernel/seccomp.c 的源代码,想问一些关于它的问题。
从 seccomp.c 中,似乎从 __secure_computing() 调用了 seccomp_run_filters() 以测试当前进程调用的系统调用。但是查看 seccomp_run_filters(),作为参数传递的系统调用号在任何地方都没有使用。
似乎 sk_run_filter() 是 BPF 过滤器机器的实现,但 sk_run_filter() 是从 seccomp_run_filters() 调用的,第一个参数(运行过滤器的缓冲区)为 NULL。
我的问题是: seccomp_run_filters() 如何在不使用参数的情况下过滤系统调用?
以下是seccomp_run_filters()的源码:
/**
* seccomp_run_filters - evaluates all seccomp filters against @syscall
* @syscall: number of the current system call
*
* Returns valid seccomp BPF response codes.
*/
static u32 seccomp_run_filters(int syscall)
{
struct seccomp_filter *f;
u32 ret = SECCOMP_RET_ALLOW;
/* Ensure unexpected behavior doesn't result in failing open. */
if (WARN_ON(current->seccomp.filter == NULL))
return SECCOMP_RET_KILL;
/*
* All filters in the list are evaluated and the lowest BPF return
* value always takes priority (ignoring the DATA).
*/
for (f = current->seccomp.filter; f; f = f->prev) {
u32 cur_ret = sk_run_filter(NULL, f->insns);
if ((cur_ret & SECCOMP_RET_ACTION) < (ret & SECCOMP_RET_ACTION))
ret = cur_ret;
}
return ret;
}