Sandbox的安全机制 —— 使用 seccomp(1)

于 2024-04-12 02:04:23 发布
阅读量992 收藏 30
点赞数 8
分类专栏: 2024年程序员学习 文章标签: 安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76223496/article/details/137659814
版权

char *argv[] = {“/bin/sh”, NULL};

char *envp[] = {NULL};

syscall(SYS_execve, filename, argv, envp); // execve

return 0;

}

编译

gcc -o ban ban.c -l seccomp

须先实现安装

sudo apt install libseccomp-dev libseccomp2 seccomp

运行程序

songyangji@SongyangJi-Ubuntu-DeskStop:~/桌面$ ./ban

错误的系统调用 (核心已转储) # Bad system call (core dumped)

api rule

SCMP_SYS

根据系统调用名获取系统调用号,虽然你可以直接使用 __NR_syscall 直接指定,但是为了跨平台最好使用它获取。

int SCMP_SYS(syscall_name);

scmp_filter_ctx

结构体定义

typedef void * scmp_filter_ctx;

seccmp的过滤器上下文,保存、传递了我们传入的系统调用过滤条件。

seccomp_init

  • 函数说明:

seccomp_init的作用就是初始化 scmp_filter_ctx结构。

需要注意的是,任何其他libseccomp中的函数调用,必须在seccomp_init之后。

  • 函数定义

scmp_filter_ctx seccomp_init(uint32_t def_action);

  • 返回值

成功返回scmp_filter_ctx(过滤器上下文) ctx;

失败返回NULL

  • 参数说明

def_action用于指定默认行为,有效动作值如下:(当线程调用了seccomp过滤规则中没有相关配置规则的系统调用时触发)

  • SCMP_ACT_KILL

线程将会被内核以SIGSYS信号终止;

  • SCMP_ACT_KILL_PROCESS

整个进程被终止;

  • SCMP_ACT_TRAP

线程将会抛出一个SIGSYS信号;

  • SCMP_ACT_ERRNO(uint16_t errno)

线程调用与筛选规则匹配的系统调用时,它将收到一个errno的返回值;

  • SCMP_ACT_TRACE(uint16_t msg_num)

  • SCMP_ACT_LOG

不会对调用系统调用的线程产生任何影响,但系统调用会被记录到日志。

  • SCMP_ACT_ALLOW

不会对调用系统调用的线程产生任何影响。

seccomp_rule_addXXX

函数说明:

这个函数组都会向当前seccomp过滤器添加新的过滤规则。

调用应用程序提供的所有过滤器规则被组合成一个联合,并带有额外的逻辑来消除冗余的系统调用过滤器。

例如,如果添加了一条规则,该规则允许给定的系统调用具有一组特定的参数值,

然后又添加了一条规则,该规则允许相同的系统调用而不管参数值如何,

那么第一个更具体的规则将有效地从过滤器中删除第二个更通用的规则。

函数定义

int seccomp_rule_add(scmp_filter_ctx ctx, uint32_t action,

int syscall, unsigned int arg_cnt, …);

int seccomp_rule_add_exact(scmp_filter_ctx ctx, uint32_t action,

int syscall, unsigned int arg_cnt, …);

int seccomp_rule_add_array(scmp_filter_ctx ctx,

uint32_t

最低0.47元/天 解锁文章
2301_76223496
关注
  • 8
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Sandbox安全机制 —— 使用 seccomp,有网络安全基础学网络安全
2401_84424625的博客
04-17 610
先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。 既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!由于文件比较多,这里只是将部分目录截图出来,全套包含大厂
Linux系统编程 —— seccomp沙箱安全机制
柯西丶不是你的博客
05-12 4535
一、简介 安全计算模式 seccomp(Secure Computing Mode)是自 Linux 2.6.10 之后引入到 kernel 的特性。一切都在内核中完成,不需要额外的上下文切换,所以不会造成性能问题。目前 在 Docker 和 Chrome 中广泛使用使用 seccomp,可以定义系统调用白名单和黑名单,可以 定义出现非法系统调用时候的动作,比如结束进程或者使进程调用失败。 seccomp机制用于限制应用程序可以使用的系统调用,增加系统的安全性。 在/proc/${pid}/st.
linux 安全系列目录 - seccomp安全模块问题排查
最新发布
yushuoqi的博客
11-03 2万+
seccomp是一种Linux内核特性,允许限制进程可以执行的系统调用,以增加应用程序的安全性。总的来说,libseccomp是一个强大的工具,可用于在Linux系统上实施安全策略,并限制应用程序的系统调用。
LINUX SECCOMP模块介绍
SHELLCODE_8BIT的博客
11-22 2839
Seccomp是 "secure computing" 的 缩写。Linux内核2.6.12版本(2005年3月8日)引入。是linux一个安全模块,用于限制程序系统调用;我们来看下例子。
沙盒机制--SandBox
weixin_33770878的博客
09-21 201
IOS中的沙盒机制SandBox)是一种安全体系,它规定了应用程序只能在为该应用创建的文件夹内读取文件,不可以访问其他地方的内容。所有的非代码文件都保存在这个地方,比如图片、声音、属性列表和文本文件等。1.每个应用程序都在自己的沙盒内2.不能随意跨越自己的沙盒去访问别的应用程序沙盒的内容3.应用程序向外请求或接收数据都需要经过权限认证查看模拟器的沙盒文件夹在...
go-sandbox:使用容器ptrace seccomp在GO中实现的沙箱
03-29
因为ptrace,unshare,cgroup仅在Linux上可用编译安装从安装最新的go编译器安装libseccomp库:(对于Ubuntu) apt install libseccomp-dev 构建并安装: go install github.com/criyle/go-sandbox/...技术领域...
IOS学习之IOS沙盒(sandbox)机制和文件操作
03-02
通过这张图只能从表层上理解sandbox是一种安全体系,应用程序的所有操作都要通过这个体系来执行,其中核心内容是:sandbox对应用程序执行各种操作的权限限制。下面看看模拟器的沙盒文件夹在mac电脑上的什么位置。...
sandbox:简单Linux seccomp规则,无需编写任何代码
04-01
沙盒Linux seccomp变得简单该软件包提供了一种简单的方法,可以通过环境变量在任何应用程序(甚至是专有应用程序)中启用基本seccomp。 它与SystemCallFilter= 非常相似,但具有一些优点: 它没有一些systemd限制: ...
sandBox沙盒机制的学习
05-03
沙盒机制SandBox)是计算机安全领域中的一个重要概念,主要用于限制程序的权限,防止它们对系统进行未经授权的访问或操作。在IT行业中,尤其是在移动设备应用开发(如iOS和Android)、网络安全和云计算环境中,...
seccomp的学习
凌云俯瞰
04-01 8402
做pwn,用seccomp做沙箱保护很常见。有时候seccomp后面会跟一个结构体,趁此机会学习一把。 1、 简介 seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如劫持程序流后通过execve的syscall来getshell.通过seccomp我们可以在程序中禁用掉某些syscall,这样就算劫持了程序流也只能调用部分的syscall了. 2...
从 manual 中学习 seccomp 技术
龙瑜的博客
08-20 845
在限制程序能够使用的系统调用这篇文章中我描述了使用 seccomp 来限制程序系统调用的技术,虽然能够上手却并不了解它提供的真正功能与实际的应用场景,在本篇文章中探讨下。
Sandbox安全机制 —— 使用 seccomp
SongyangJi
12-10 3233
2021SC@SDUSC
seccomp
jason的笔记
07-05 2486
seccomp主要是用来对系统调用权限控制的,用户可以通过prctl或者seccomp_init/seccomp_rule_add/seccomp_load等函数来限制用户控件对每个系统调用的是否禁止通过下面的命令可以查看某个进程的设置的seccomp状态[root@localhost ~]# cat /proc/1/statusSeccomp:        0...
Linux seccomp机制
、moddemod
06-19 1966
简介 seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如程序劫持程序流后通过execve的syscall来getshell。通过seccomp我们可以在程序中禁用掉某些syscall,这就就算劫持了程序流也只能调用部分的syscall了 演示 正常的系统调用,可以使用所有系统调用 #include<unistd.h> #include<sys/syscall.h> int main() { char * filename =
上手 seccomp
龙瑜的博客
01-21 1855
NAME seccomp - operate on Secure Computing state of the process SYNOPSIS #include <linux/seccomp.h> #include <linux/filter.h> #include <linux/audit.h> #include <linux/signal.h> #include <sys/ptrace.h> int seccomp(unsigned i
Mac 开发(一) 苹果沙盒机制sandbox 简介
kyl282889543的博客
06-07 8714
文章目录Mac 开发(一) 苹果沙盒机制sandbox Mac 开发(一) 苹果沙盒机制sandbox
Chromium的Sandbox机制
optman的专栏
01-22 608
Chromium允许渲染进程运行在Sandbox里,这样即便代码存在漏洞被网页利用了,也不会对系统造成威胁。 Chromium的Sandbox机制主要依赖于操作系统的安全机制,包括Restricted Token,Job Object,Windows Desktop,还有Integrity Level(Vista开始)。  Restricted Token Restric...
iOS --- 关于SandBox机制及文件读写的几种方式
icetime17的专栏
10-11 1549
iOS中的SandBox(沙盒)机制是一种安全体系,它规定了APP只能在为该APP创建的文件夹内读取文件,不可以访问其他地方的内容。所有的非代码文件都保存在这个地方,比如图片、声音、属性列表和文本文件等。
iframe 中的sandbox如何使用
05-12
以下是一个示例,展示了如何在 `iframe` 中使用 `sandbox` 属性: ```html <iframe src="https://example.com" sandbox="allow-forms allow-scripts"> ``` 在上面的示例中,`sandbox` 属性指定了 `allow-forms` 和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值