Sec-comp机制简介及编程案例

最新推荐文章于 2024-04-12 02:04:23 发布
最新推荐文章于 2024-04-12 02:04:23 发布
阅读量1.5k 收藏 12
点赞数 8
分类专栏: 系统安全 文章标签: linux 系统安全 安全 网络安全 iot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andlee/article/details/134768876
版权

seccomp(Secure Computing mode)是Linux内核提供的一种安全机制,用于在用户态应用程序执行系统调用时进行过滤和限制。其原理是基于对系统调用号的过滤和限制,以及对系统调用参数的校验。

当一个应用程序启动时,它可以使用seccomp机制来加载一个过滤器,该过滤器指定了允许或禁止执行的系统调用。在应用程序执行系统调用时,seccomp会根据过滤器的规则进行匹配和处理。

seccomp机制的主要原理包括以下几个步骤:

1. 创建seccomp过滤器:应用程序启动时,可以使用系统调用prctl()函数创建一个seccomp过滤器,并获取一个指向过滤器上下文的句柄。

2. 添加规则:使用seccomp_rule_add()函数,应用程序可以将规则添加到seccomp过滤器中。规则可以指定允许或禁止执行的系统调用,还可以根据需要指定相应的参数和条件。

3. 加载过滤器:使用seccomp_load()函数,应用程序可以将创建的seccomp过滤器加载到内核中。

4. 执行系统调用:应用程序在执行系统调用之前,seccomp会对系统调用号进行匹配。如果匹配的规则允许执行该系统调用,则正常执行;如果匹配的规则禁止执行该系统调用,则返回错误并终止应用程序的执行。

下面以限制shell的系统调用为例,用C语言实现一个sec-comp的编程案例:

```c
#define _GNU_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <sys/prctl.h>
#include <linux/seccomp.h>

int main() {
    // 创建一个新的seccomp过滤器
    scmp_filter_ctx ctx;
    ctx = seccomp_init(SCMP_ACT_KILL); // 默认情况下,阻止所有系统调用

    // 允许特定的系统调用
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(open), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(read), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(write), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(close), 0);
    // 添加更多允许的系统调用

    // 安装seccomp过滤器
    if (seccomp_load(ctx) < 0) {
        perror("seccomp_load failed");
        exit(1);
    }

    // 设置本进程为seccomp模式
    if (prctl(PR_SET_SECCOMP, 1) < 0) {
        perror("prctl failed");
        exit(1);
    }

    // 运行she'll进程
    system("/bin/she'll");

    // 清除seccomp过滤器
    seccomp_release(ctx);

    return 0;
}
```

在此示例中,我们使用`seccomp_init()`函数创建了一个新的seccomp过滤器上下文,并使用`SCMP_ACT_KILL`作为默认操作,即阻止所有系统调用。然后,我们使用`seccomp_rule_add()`函数添加了一些允许的系统调用,例如`open()`、`read()`、`write()`和`close()`。

然后,我们使用`seccomp_load()`函数加载seccomp过滤器,`prctl()`函数将本进程设置为seccomp模式,并运行了“she'll”进程(你可以将路径更改为she'll进程的正确路径)。最后,我们使用`seccomp_release()`函数清除seccomp过滤器上下文。

seccomp机制的优点是可以有效地限制应用程序的权限和可执行的系统调用,减少了恶意代码的攻击面,提高了系统的安全性。

车联网安全杂货铺
关注
专栏目录
LINUX SECCOMP模块介绍
SHELLCODE_8BIT的博客
11-22 2997
Seccomp是 "secure computing" 的 缩写。Linux内核2.6.12版本(2005年3月8日)引入。是linux一个安全模块,用于限制程序系统调用;我们来看下例子。
SECCOMP
SHELLCODE_8BIT的博客
11-15 399
浅谈Linux SECCOMP安全机制在容器中的使用 - 腾讯云开发者社区-腾讯云 (tencent.com)
Sandbox的安全机制 —— 使用 seccomp(1)
2301_76223496的博客
04-12 1063
char *argv[] = {“/bin/sh”, NULL};char *envp[] = {NULL};syscall(SYS_execve, filename, argv, envp); // execvereturn 0;}编译gcc -o ban ban.c -l seccomp运行程序songyangji@SongyangJi-Ubuntu-DeskStop:~/桌面$ ./ban错误的系统调用 (核心已转储) # Bad system call (core dumped)api rule根据
seccomp介绍
mashimiao的专栏
06-22 2万+
什么是seccomp seccomp(全称securecomputing mode)是linuxkernel从2.6.23版本开始所支持的一种安全机制。 在Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,
linux3.5 Seccomp
lhj893614438的博客
01-20 233
Seccomp (即“"secure computing”的别名)是2.6.12版本重新加入的简单沙盒机制,用来确保系统调用处于受限状态(仅允许对已打开的文件进行exit, sigreturn, read 和 write操作)。Seccomp现在又增加了新功能:不再是有限并且确定的系统调用,Seccomp现在已经成了一种过滤机制,用来管理一个系统调用是否被禁止(和Berkeley Packet F...
【云安全系列】Seccomp—云安全syscall防护利器
Rethinking the Kernel
10-28 5327
本文从 Seccomp 机制出发,在 linux 内核层面介绍了 Seccomp 可以实现的安全能力即对进程的系统调用限制能力。Kubernetes 为我们提供了可以对容器进行系统调用层面保护的接口即 Seccomp 能力。在云原生场景,通过使用 ebpf 的手段获取业务系统调用白名单,通过linux 内核支持的 Seccomp 机制对业务容器进行系统调用维度的防护,进而保证业务容器 syscall 层面的安全
linux安全seccomp
快乐时光
04-15 4326
介绍 seccomp按照字面意思可以理解为security computing,最早是作用于网格计算,主要通过限制进程的系统调用来完成部分沙箱隔离功能。 通过man prctl可以发现,seccomp的引入是在内核2.6.23,早期的seccomp主要限制read、write、exit以及sigreturn四个系统调用。内核3.5版本引入filter模式,将seccomp分成strict和filter两种。其中strict依旧限制四种系统调用,而filter模式则借助了Berkeley ...
Linux Seccomp 简介
小立仔
02-27 1358
Linux Seccomp简介,以及其简单的使用。
Dreamweaver网页设计与制作100例 餐饮主题简洁日式料理餐饮网页设计(4页)HTML+CSS+JavaScript
HTML网页设计
09-06 1624
🎀 精彩专栏推荐👇🏻👇🏻👇🏻 🥧 美食网页介绍、🍰甜品蛋糕、🦐地方美食小吃文化、🍺餐饮文化、等网站的设计与制作。🍧美食主题网站 主要对各种美食进行展示,让浏览者清晰地了解到各种美食的详细信息,便于浏览者进行选择。该模块的左侧有个美食分类,用户可以选择自己喜欢的种类,当点击种类后,就会在右侧出现该分类下的各种美食,用户可以点击自己感兴趣的食品,从而看到它的具体信息。它的具体信息包括配料、产地及它的一些功能,使用户对该食品有着全面的认识。👨‍🎓静态网站的编写主要是用HTML DIV...
3每个 Yocto 跟踪工具的基本用法(附示例)
Jarvis的博客
08-28 2110
3每个 Yocto 跟踪工具的基本用法(附示例) 目录 3每个 Yocto 跟踪工具的基本用法(附示例) 3.1PERF 3.1.1性能设置 3.1.2基本性能使用 3.1.3性能文档 3.2跟踪 3.2.1ftrace 设置 3.2.2ftrace 基本用法 3.2.3“跟踪事件”子系统 3.2.4trace-cmd/kernelshark 3.2.5ftrace 文档 3.3systemtap 3.3.1systemtap 设置 3.3.2在目标上运行脚...
seccomp-tools:提供用于seccomp分析的强大工具
04-06
Seccomp工具 提供用于seccomp分析的强大工具。 该项目旨在(但不限于)分析CTF pwn挑战中的seccomp沙箱。 某些功能可能是CTF特有的,但对于在实际情况下分析seccomp仍然有用。 特征 转储-自动从执行文件中转储seccomp-bpf。 Disasm-将bpf转换为人类可读的格式。 简单的反编译。 尽可能显示系统调用名称和参数。 丰富多彩的! Asm-编写seccomp规则是如此简单! mu-模拟seccomp规则。 支持多架构。 安装 在RubyGems.org上可用! $ gem install seccomp-tools 如果编译时失败,请尝试: sudo apt install gcc ruby-dev 并再次安装seccomp-tools。 命令行界面 seccomp工具 $ seccomp-tools --help # Usage:
【大杂烩】杂7杂8的东西
热门推荐
vickytong1018的博客
10-28 2万+
记录平时工作的内容和体会
Stream学习2
weixin_45014721的博客
10-29 244
工作内容,不对外开放
Introduction to Seccomp: BPF linux syscall filter
魏巍的博客
02-14 1976
Seccomp Introduction Seccomp Security Profiles for Docker 2.1 Docker default seccomp profile 2.2 Use custom Seccomp profile 2.3 Docker Run without the default seccomp profile
Linux seccomp机制
、moddemod
06-19 2032
简介 seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如程序劫持程序流后通过execve的syscall来getshell。通过seccomp我们可以在程序中禁用掉某些syscall,这就就算劫持了程序流也只能调用部分的syscall了 演示 正常的系统调用,可以使用所有系统调用 #include<unistd.h> #include<sys/syscall.h> int main() { char * filename =
理解Seccomp
漫步量化
12-25 440
Seccomp seccomp (short for secure computing mode) is a computer security facility in the Linux kernel. seccomp allows a process to make a one-way transition into a “secure” state where it cannot make any system calls exit(), sigreturn(), read(), write() ..
上手 seccomp
龙瑜的博客
01-21 2261
NAME seccomp - operate on Secure Computing state of the process SYNOPSIS #include <linux/seccomp.h> #include <linux/filter.h> #include <linux/audit.h> #include <linux/signal.h> #include <sys/ptrace.h> int seccomp(unsigned i
seccomp的学习
凌云俯瞰
04-01 8536
做pwn,用seccomp做沙箱保护很常见。有时候seccomp后面会跟一个结构体,趁此机会学习一把。 1、 简介 seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如劫持程序流后通过execve的syscall来getshell.通过seccomp我们可以在程序中禁用掉某些syscall,这样就算劫持了程序流也只能调用部分的syscall了. 2...
Linux Seccomp 简介_seccomp严格模式(1),作为网络安全程序员
sfdsfgdgd的博客
04-08 883
Killed。
JT-CoMP-NOMA model
最新发布
06-23
JT-CoMP (Joint Transmission with Coordinated Multi-Point) 和 NOMA (Non-Orthogonal Multiple Access) 是现代移动通信网络中的两种关键技术,它们被设计用来提高系统的容量和效率。 1. **JT-CoMP**: 这是一种协作多点传输技术,用于5G和后续的网络中。它允许多个基站(eNodeB)协调地发送信号给同一个用户,通过联合编码和解码,提高了信号的强度和抗干扰能力。这种协同可以减少小区间的干扰,特别是对于边缘用户,能显著提升数据速率和覆盖范围。 2. **NOMA**: 非正交多址访问是一种多址接入方法,它在同一频率资源上为多个用户分配非正交的信号,通过信道编码和解码技术区分不同的用户。NOMA特别适用于下行链路,其中用户具有不同的信道条件,接收端通常使用 Successive Interference Cancellation (SIC, 逐次干扰消除) 来解码信息。 **JT-CoMP-NOMA Model**: 当这两者结合时,称为JT-CoMP-NOMA模型,它可以同时利用JT-CoMP的协作优势和NOMA的多用户共享能力。在这样的模型中,多个基站协作为一组NOMA用户群体服务,每个用户根据其信道条件接收到一部分信号,然后在本地或在基站之间使用SIC来解码自己的信息。这不仅可以提升系统吞吐量,还可以实现更好的公平性和效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

车联网安全杂货铺

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值