Вопросы по теме 'seccomp'
SECCOMP: Как эмулировать malloc, realloc и free?
Я хочу запускать произвольные (потенциально опасные) двоичные файлы на своем сервере. Поэтому я использовал objcopy , чтобы переименовать «главный» символ в «other_main», чтобы я мог связать свою небольшую основную функцию, которая устанавливает...
1213 просмотров
schedule
21.02.2022
Ограничить системные вызовы внутри контейнера докеров
Как я могу ограничить любой системный вызов, сделанный внутри док-контейнера. Если данный процесс делает системный вызов, он будет заблокирован. Или как я могу использовать seccomp с докером.
2324 просмотров
schedule
03.07.2023
seccomp как обрабатывать события ptrace
Я использую фильтры seccomp для ограничения системных вызовов, выполняемых процессом. Вплоть до использования белого списка системных вызовов для разрешения и запрета системного вызова понятно. Я остановился на концепции ptrace событий,...
488 просмотров
schedule
27.07.2022
Как изменить правила в фильтре seccomp в openssh
Я выполнил установку OpenSSH_6.6p1 с OpenSSL 1.0.1f. Он работает нормально. В OpenSSH_6.6p1 есть sandbox-seccomp-filter . Как я могу изменить правила в фильтре, а затем как снова реализовать фильтр, чтобы OpenSSH мог фильтровать конкретный...
456 просмотров
schedule
06.06.2024
Установите secomp на неограниченный в docker-compose
Мне нужно иметь возможность разветвить процесс. Насколько я понимаю, мне нужно установить параметр security-opt. Я попытался сделать это с помощью команды docker, и она отлично работает. Однако, когда я делаю это в файле компоновки докеров,...
11162 просмотров
schedule
19.04.2023
Как найти все системные вызовы, которые должны быть внесены в белый список для seccomp?
У меня есть существующая программа, которую я хотел бы поместить в песочницу с помощью seccomp (v2).
Как узнать, какие правила seccomp мне нужно разрешить для программы?
Я пытался добавить seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(…),...
349 просмотров
schedule
25.05.2023
Как sigreturn может блокировать все сигналы, кроме SIGKILL и SIGSTOP в SECCOMP_SET_MODE_STRICT?
В разделе SECCOMP_SET_MODE_STRICT документа man 2 seccomp сказано, что:
Обратите внимание, что хотя вызывающий поток больше не может вызывать sigprocmask(2), он может использовать sigreturn(2) для блокировки всех сигналов, кроме SIGKILL и...
335 просмотров
schedule
11.03.2022
Как получить код возврата системного вызова с помощью SECCOMP_RET_DATA и PTRACE_GETEVENTMSG
Я немного сбит с толку, пытаясь получить возвращаемое значение системного вызова с помощью ptrace + seccomp.
man 4 bpf говорит :
FILTER MACHINE
A filter program is an array of instructions, with all branches forwardly
directed, terminated...
510 просмотров
schedule
18.07.2022
загрузить сгенерированный код seccomp_export_bpf в ядро
http://man7.org/linux/man-pages/man3/seccomp_export_bpf.3.html как я могу загрузить сгенерированный код в ядро? Каковы возможные варианты использования этой функции?
80 просмотров
schedule
16.02.2024
Как использовать фильтр seccomp с ebpf?
Я ищу пример eBPF для написания фильтра seccomp, но не могу найти. Может ли кто-нибудь сказать мне, можно ли использовать eBPF для написания фильтра seccomp?
724 просмотров
schedule
05.04.2024
Можно ли применить профиль SECCOMP ядра Linux из процесса Go?
Я пытаюсь реализовать трассировщик системных вызовов с поддержкой ядро SECCOMP фильтрует, чтобы уменьшить накладные расходы, отфильтровывая несколько типов системных вызовов.
Все реализации, которые я нашел, написаны на C, я не могу понять, как...
167 просмотров
schedule
19.11.2022
Запуск процесса из C с профилем seccomp
Я хочу запустить процесс с примененным к нему профилем seccomp (можно из C, терминала и т.д.). В частности, я бы хотел, чтобы целевой команде не разрешалось читать и записывать какие-либо файлы, и она могла просто печатать на консоли. Временный...
22 просмотров
schedule
28.05.2023