seccomp

最新推荐文章于 2024-09-09 17:37:59 发布
最新推荐文章于 2024-09-09 17:37:59 发布
阅读量2.7k 收藏
点赞数
分类专栏: linux


什么是seccomp

seccomp(全称securecomputing mode)是linuxkernel2.6.23版本开始所支持的一种安全机制。

Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,同时是程序进入一种“安全”的状态。

详细介绍可参考seccomp内核文档


如何使用seccomp

seccomp可以通过系统调用ptrctl(2)或者通过系统调用seccomp(2)开启,前提是内核配置中开启了CONFIG_SECCOMPCONFIG_SECCOMP_FILTER

seccomp支持两种模式:SECCOMP_MODE_STRICTSECCOMP_MODE_FILTER。在SECCOMP_MODE_STRICT模式下,进程不能使用read(2)write(2)_exit(2)sigreturn(2)以外的其他系统调用。在SECCOMP_MODE_FILTER模式下,可以利用BerkeleyPacket Filter配置哪些系统调用及它们的参数可以被进程使用。


如何查看是否使用了seccomp

通常有两种方法:

  1. 利用prctl(2)PR_GET_SECCOMP的参数获取当前进程的seccomp状态。返回值0表示没有使用seccomp;返回值2表示使用了seccomp并处于SECCOMP_MODE_FILTER模式;其他情况进程会被SIGKILL信号杀死。

  2. Linux3.8开始,可以利用/proc/[pid]/status中的Seccomp字段查看。如果没有seccomp字段,说明内核不支持seccomp

bai___DDD
关注
专栏目录
SECCOMP
SHELLCODE_8BIT的博客
11-15 399
浅谈Linux SECCOMP安全机制在容器中的使用 - 腾讯云开发者社区-腾讯云 (tencent.com)
seccomp介绍
热门推荐
mashimiao的专栏
06-22 2万+
什么是seccomp seccomp(全称securecomputing mode)是linuxkernel从2.6.23版本开始所支持的一种安全机制。 在Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,
详细介绍seccomp
远方雪的专栏
09-09 461
通过这种方式,即使应用程序被攻破,攻击者也只能执行有限的系统调用,从而减少潜在的损害。Seccomp 允许进程进入一种受限的状态,在这种状态下,进程只能执行一组预先定义的系统调用。通过限制可用的系统调用,可以减少潜在的攻击面。然而,正确配置 Seccomp 需要对应用程序的行为有深入的了解,包括它需要调用哪些系统调用,以及这些调用的上下文。Seccomp 有两种模式:seccomp mode 1(也称为 strict mode)和 seccomp mode 2(也称为 filter mode)。
linux3.5 Seccomp
lhj893614438的博客
01-20 233
Seccomp (即“"secure computing”的别名)是2.6.12版本重新加入的简单沙盒机制,用来确保系统调用处于受限状态(仅允许对已打开的文件进行exit, sigreturn, read 和 write操作)。Seccomp现在又增加了新功能:不再是有限并且确定的系统调用,Seccomp现在已经成了一种过滤机制,用来管理一个系统调用是否被禁止(和Berkeley Packet F...
【云安全系列】Seccomp—云安全syscall防护利器
Rethinking the Kernel
10-28 5327
本文从 Seccomp 机制出发,在 linux 内核层面介绍了 Seccomp 可以实现的安全能力即对进程的系统调用限制能力。Kubernetes 为我们提供了可以对容器进行系统调用层面保护的接口即 Seccomp 能力。在云原生场景,通过使用 ebpf 的手段获取业务系统调用白名单,通过linux 内核支持的 Seccomp 机制对业务容器进行系统调用维度的防护,进而保证业务容器 syscall 层面的安全。
linux安全之seccomp
快乐时光
04-15 4326
介绍 seccomp按照字面意思可以理解为security computing,最早是作用于网格计算,主要通过限制进程的系统调用来完成部分沙箱隔离功能。 通过man prctl可以发现,seccomp的引入是在内核2.6.23,早期的seccomp主要限制read、write、exit以及sigreturn四个系统调用。内核3.5版本引入filter模式,将seccomp分成strict和filter两种。其中strict依旧限制四种系统调用,而filter模式则借助了Berkeley ...
seccomp-tools:提供用于seccomp分析的强大工具
04-06
Seccomp工具 提供用于seccomp分析的强大工具。 该项目旨在(但不限于)分析CTF pwn挑战中的seccomp沙箱。 某些功能可能是CTF特有的,但对于在实际情况下分析seccomp仍然有用。 特征 转储-自动从执行文件中转储...
golang-seccomp:为libseccomp进行绑定
05-19
《深入理解Golang-seccomp:为libseccomp库构建安全上下文》 在Linux系统中,安全性是至关重要的,而seccomp(Secure Computing)作为一种强大的安全机制,允许程序限制自己的系统调用行为,从而减少攻击面,提高...
Linux Seccomp 简介_seccomp严格模式
m0_60226911的博客
04-28 636
return 0;
Seccomp Library:Linux内核的seccomp过滤器的高级接口-开源
04-25
注意:libseccomp项目已移至https://github.com/seccomp/libseccomp libseccomp库为Linux内核的syscall过滤机制seccomp提供了易于使用且与平台无关的接口。 libseccomp API旨在抽象出基于BPF的基础系统调用过滤器...
开源项目-xfernando-go2seccomp.zip
09-03
【开源项目-xfernando-go2seccomp.zip】是一个由开发者xfernando创建的开源项目,主要关注于安全领域中的Seccomp(Secure Computing)技术。Seccomp是Linux内核提供的一种安全机制,用于限制进程可以执行的系统调用...
上手 seccomp
龙瑜的博客
01-21 2261
NAME seccomp - operate on Secure Computing state of the process SYNOPSIS #include <linux/seccomp.h> #include <linux/filter.h> #include <linux/audit.h> #include <linux/signal.h> #include <sys/ptrace.h> int seccomp(unsigned i
LINUX SECCOMP模块介绍
SHELLCODE_8BIT的博客
11-22 2997
Seccomp是 "secure computing" 的 缩写。Linux内核2.6.12版本(2005年3月8日)引入。是linux一个安全模块,用于限制程序系统调用;我们来看下例子。
Sandbox的安全机制 —— 使用 seccomp(1)
2301_76223496的博客
04-12 1063
char *argv[] = {“/bin/sh”, NULL};char *envp[] = {NULL};syscall(SYS_execve, filename, argv, envp); // execvereturn 0;}编译gcc -o ban ban.c -l seccomp运行程序songyangji@SongyangJi-Ubuntu-DeskStop:~/桌面$ ./ban错误的系统调用 (核心已转储) # Bad system call (core dumped)api rule根据
Linux seccomp机制
、moddemod
06-19 2032
简介 seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如程序劫持程序流后通过execve的syscall来getshell。通过seccomp我们可以在程序中禁用掉某些syscall,这就就算劫持了程序流也只能调用部分的syscall了 演示 正常的系统调用,可以使用所有系统调用 #include<unistd.h> #include<sys/syscall.h> int main() { char * filename =
理解Seccomp
漫步量化
12-25 440
Seccomp seccomp (short for secure computing mode) is a computer security facility in the Linux kernel. seccomp allows a process to make a one-way transition into a “secure” state where it cannot make any system calls exit(), sigreturn(), read(), write() ..
Sec-comp机制简介及编程案例
李老板的移动安全杂货铺
12-03 1563
然后,我们使用`seccomp_rule_add()`函数添加了一些允许的系统调用,例如`open()`、`read()`、`write()`和`close()`。然后,我们使用`seccomp_load()`函数加载seccomp过滤器,`prctl()`函数将本进程设置为seccomp模式,并运行了“she'll”进程(你可以将路径更改为she'll进程的正确路径)。seccomp机制的优点是可以有效地限制应用程序的权限和可执行的系统调用,减少了恶意代码的攻击面,提高了系统的安全性。
seccomp的学习
凌云俯瞰
04-01 8536
做pwn,用seccomp做沙箱保护很常见。有时候seccomp后面会跟一个结构体,趁此机会学习一把。 1、 简介 seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如劫持程序流后通过execve的syscall来getshell.通过seccomp我们可以在程序中禁用掉某些syscall,这样就算劫持了程序流也只能调用部分的syscall了. 2...
Linux Seccomp 简介
小立仔
02-27 1358
Linux Seccomp简介,以及其简单的使用。
如何使用seccomp
最新发布
10-24
Seccomp (Security Compute Module) 是一种 Linux 安全机制,它允许系统管理员控制应用程序可以使用的系统调用。通过限制进程可以访问的系统 API,它有助于防止恶意软件滥用系统功能。以下是使用 Seccomp 的基本步骤: 1. **安装 seccomp**: 对于大多数Linux发行版,你可以通过包管理器安装`libseccomp-dev`库,然后编译或安装支持Seccomp的应用程序。 2. **编写Seccomp规则文件**: 使用文本编辑器创建一个`.seccomp`文件,例如`myapp.seccomp`。在这个文件里,你需要定义一系列的规则,每个规则由基础操作码(syscall number)和对应的处理模式组成。模式可以是 `SCMP_ACT_ALLOW`(允许)、`SCMP_ACT_KILL`(终止进程)、`SCMP_ACT_ERRNO`(返回错误号)等。 ```bash { #include <syscalls> // 允许特定的系统调用 sys_write = SCMP_ACT_ALLOW; sys_read = SCMP_ACT_ALLOW; // 禁止其他系统调用 SYS_exit_group = SCMP_ACT_KILL; /* 阻止退出 */ } ``` 3. **启用Seccomp**: 应用程序启动前,需要加载这个规则文件到内核模块。这通常在`main()`函数之前完成,比如使用`prctl(PR_SET_SECCOMP, SECCOMP_MODE_FILTER, ...)`。 4. **检查和审计**: 开发者应验证应用是否按预期运行,并监控日志以检测潜在的安全漏洞。某些工具如`sysdig`或`ptrace`可以帮助调试和分析Seccomp策略的效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值