0

我正在尝试创建一个 seccomp 过滤器,它将 fork() 的使用列入黑名单。这是我的代码:

#include <seccomp.h>
#include <unistd.h>
#include <stdio.h>
#include <sys/types.h>

int main(void) {
        int rc = -1;
        int pid_t;
        scmp_filter_ctx ctx;
        ctx = seccomp_init(SCMP_ACT_ALLOW);

        // possible issue for torsocks: needs arg count
        rc = seccomp_rule_add(ctx, SCMP_ACT_KILL, SCMP_SYS(fork), 0);
        printf("seccomp rule add return value: %d\n", rc);
        rc = seccomp_load(ctx);
        printf("seccomd_load return value: %d\n", rc);
        pid_t = fork();
        printf("%d\n", pid_t);
        seccomp_release(ctx);
        return 0;
}

我这样编译:

hc01@HC01:~/torsocks$ gcc test_seccomp.c -lseccomp

然后运行得到以下输出:

hc01@HC01:~/torsocks$ ./a.out 
seccomp rule add return value: 0
seccomd_load return value: 0
15384
0

暗示我能够成功 fork 并且 seccomp_add_rule 和 seccomp_load 运行成功。有人可以帮我理解我做错了什么吗?谢谢!

4

1 回答 1

3

fork()来自 glibc 的可能实际上是使用系统调用clone而不是fork,请参阅man fork.

您可以通过查看来验证这一点strace ./a.out

因此尝试:

rc = seccomp_rule_add(ctx, SCMP_ACT_KILL, SCMP_SYS(clone), 0);

反而。

在任何情况下,您都应该使用 default-block 而不是 default-allow 系统调用,因为否则您需要考虑所有现有的系统调用以及它们是否会产生不良影响(例如,对于创建子进程,至少vfork除了forkand之外还有clone)并且还因为新的内核版本可能会添加任意系统调用,这可能会再次产生不良影响。

于 2018-12-21T00:29:21.257 回答