关于seccomp_BPF的疑问

已于 2023-02-14 14:26:25 修改
阅读量191 收藏 1
点赞数
分类专栏: 项目总结 文章标签: 系统安全 linux 安全
于 2023-02-14 14:24:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fdfasf/article/details/129026150
版权

seccomp_BPF是Linux里一个强大的系统调用过滤工具,可以过滤掉用户程序的一些恶意系统调用访问和攻击。那用户程序进来先调用

	prctl(PR_SET_SECCOMP, SECCOMP_MODE_DISABLED);

将seccomp关了岂不是可以绕过安全检查了?还是说SECCOMP_MODE_DISABLED的设置会有一些限制措施?因为我注意到,以下程序
在这里插入图片描述
标号2处代码是没有生效的
在这里插入图片描述

weterlly
关注
专栏目录
一个轻量级的进程隔离工具,利用Linux名称空间和seccomp-bpf syscall过滤器(借助kafel bpf语言)-C/C++开发
05-26
概述它提供了哪些隔离形式支持哪些用例隔离网络服务(inetd样式)可以访问私有克隆接口的隔离(需要root / setuid)隔离o概述它提供了哪种隔离形式?支持案例隔离网络服务(inetd样式)隔离访问私有的克隆接口(需要root / setuid)隔离本地进程隔离本地进程(并在必要时重新运行)在Windows中使用Bash的示例使用uid == 0的最小文件系统,并且只能在最小文件系统中访问/ dev / urandom / usr / bin / find(只能从/ usr / bin访问/ usr / bin / find)使用/ etc / subuid甚至更多的
linux安全seccomp
快乐时光
04-15 4306
介绍 seccomp按照字面意思可以理解为security computing,最早是作用于网格计算,主要通过限制进程的系统调用来完成部分沙箱隔离功能。 通过man prctl可以发现,seccomp的引入是在内核2.6.23,早期的seccomp主要限制read、write、exit以及sigreturn四个系统调用。内核3.5版本引入filter模式,将seccomp分成strict和filter两种。其中strict依旧限制四种系统调用,而filter模式则借助了Berkeley ...
seccomp - Secure Computing
happykillerxxx的专栏
01-25 896
参考资料 http://www.man7.org/linux/man-pages/man2/seccomp.2.html http://man7.org/conf/lpc2015/limiting_kernel_attack_surface_with_seccomp-LPC_2015-Kerrisk.pdf https://www.freebsd.org/cgi/man....
【云安全系列】让Seccomp“动“起来­­--SeccompNotify
Rethinking the Kernel
11-05 4730
Seccomp 作为最早一批系统级安全防护机制,从最开始只支持4个 syscall 的保护,逐步发展到 300+syscall 管控,再到现在在用户态定义的动态管控。可以察觉系统安全正在逐步由小部分的内核开发维护人员,向着更加普遍且大众开发者贴近。本文通过实际编码的方式,着重介绍了 SeccompNotify 在进程中通过将裁决移交给第三方进程,从而达到约束 target 进程的功能。除此之外,还概括了目前 SeccompNotify 主要使用的场景和注意事项;
虚拟化安全 sandbox 技术分析
weixin_30608131的博客
07-10 596
原文链接:https://cloud.tencent.com/developer/news/215218 前言: libvirt-4.3搭配qemu-2.12使用,如果使用默认的编译选项,可能会让qemu无法正常启动虚拟机。会报出来“qemu-system-x86_64: -sandbox on,obsolete=deny,elevateprivileges=deny,spawn=deny,r...
seccomp介绍
热门推荐
mashimiao的专栏
06-22 2万+
什么是seccomp seccomp(全称securecomputing mode)是linuxkernel从2.6.23版本开始所支持的一种安全机制。 在Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,
BPF.zip_BPF_BPF by GUI matlab_bandpass matlab_bpf by matlab
09-20
标签“bpf bpf_by_gui_matlab bandpass__matlab bpf_by_matlab”分别对应带通滤波器(BPF)、使用MATLAB GUI设计的带通滤波器、MATLAB实现的带通滤波器以及MATLAB中实现的带通滤波器。这些标签强调了这个工具的适用...
BPF_1_4.zip_BPF_BPF_1_4_matlab bpf_匹配跟踪_目标匹配
07-15
BPF在视频跟踪中用来求解多目标匹配,最佳匹配优先的启发式算法
xt_bpf.rar_them_xt_bpf
09-23
Hash function implementation for the nontrivial specialization. All of them are based on a primitive that hashes a pointer to a byte array.
test_bpf.rar_BPF
09-24
Testsuite for BPF interpreter and BPF JIT compiler.
BPF.zip_MATLAB函数BPF_bpf matlab_matlab BPF参数_matlab 傅里叶变换投影反投影图像_
09-25
标题中的"BPF.zip"指的是一个压缩包文件,其主要包含与MATLAB相关的函数和概念,特别是关于"滤波器"的实现。BPF是“带通滤波器”(Band-Pass Filter)的缩写,它是一种允许特定频率范围内的信号通过,而阻止其他频率...
docker strace ptrace 报错 Operation not permitted 解决方法
ss810540895的博客
04-25 1927
原因就是因为ptrace被Docker默认禁止的问题。下表列出了由于不在白名单而被有效阻止的重要(但不是全部)系统调用。该表包含每个系统调用被阻止的原因。当然从安全角度考虑,如只是想使用gdb进行debug的话,建议使用第三种。)是 Linux 内核功能,可以使用它来限制容器内可用的操作。安全计算模式(secure computing mode,配置文件是一个白名单,它指定了允许的调用。3、仅开放ptrace限制。1、关闭seccomp。Docker 的默认。2、采用超级权限模式。
进程创建时安全计算处理
星空探索
03-14 282
static void copy_seccomp(struct task_struct *p) { #ifdef CONFIG_SECCOMP  /*   * Must be called with sighand->lock held, which is common to   * all threads in the group. Holding cred_guard_mutex i
Introduction to Seccomp: BPF linux syscall filter
魏巍的博客
02-14 1973
Seccomp Introduction Seccomp Security Profiles for Docker 2.1 Docker default seccomp profile 2.2 Use custom Seccomp profile 2.3 Docker Run without the default seccomp profile
系统分析师17:系统安全分析与设计
最新发布
云扬的博客
10-13 873
本文主要介绍了软考高级系统分析师中系统安全分析与设计章节的内容。供个人学习使用。
Linux 命令:每日一学,一文说尽打包压缩工具实践
WeiyiGeek 唯一极客IT知识分享
10-12 683
[知识是人生的灯塔,只有不断学习,才能照亮前行的道路]文章目录:0x00 前言简述前面,我们介绍了Linux中文件查找find命令以及与之联用最勤的xargs命令,作者以一个个简单的实例给各位看友展示了在运维中两个命令的使用技巧,今天我们再来介绍一些打包、压缩解压等相关命令。在 Linux 系统中,我们经常需要使用到压缩和解压文件,使用压缩文件可以减少文件大小,从而减少存储空间,以及在网络传输...
linux逻辑卷扩容增加空间
放荡不羁爱自由
10-13 247
背景是使用vmware虚拟机安装的centos系统,在上面安装了mysql数据库为了测试千万级表模拟数据然后磁盘不够用了需要扩容。
Linux从小白到高手》综合应用篇:详解Linux系统调优之内存优化
qq_45732829的博客
10-11 965
内存是影响Linux性能的主要因素之一,内存资源的充足与否直接影响应用系统的使用性能。内存调优的主要目标是合理分配和利用内存资源,减少内存浪费,提高内存利用率,从而提升系统整体性能。
LeetCode题练习与总结:二叉树的序列化与反序列化--297
一直学习永不止步
10-11 1115
本文详细介绍了二叉树序列化与反序列化的实现方法,包括前序遍历序列化、队列辅助反序列化等,分析了时间复杂度和空间复杂度,并总结了涉及的重要知识点,为二叉树处理提供了实用的解决方案。
#include <stdint.h> #include <rte_common.h> #include "gatekeeper_flow_bpf.h" SEC("init") uint64_t declined_init(struct gk_bpf_init_ctx *ctx) { RTE_SET_USED(ctx); return GK_BPF_INIT_RET_OK; } SEC("pkt") uint64_t declined_pkt(struct gk_bpf_pkt_ctx *ctx) { RTE_SET_USED(ctx); return GK_BPF_PKT_RET_DECLINE; }
06-10
这是一个gatekeeper_flow_bpf.h文件中的函数定义,在这里定义了两个函数:declined_init和declined_pkt。这两个函数都使用了静态内联存储器标志SEC,表示这是BPF程序的一部分。declined_init函数在BPF程序初始化时执行,参数为gk_bpf_init_ctx类型的指针ctx,返回一个uint64_t类型的值。在这个例子中,函数体里没有实际的逻辑操作,只是返回了一个宏定义的GK_BPF_INIT_RET_OK值。declined_pkt函数在每个数据包到达时执行,参数为gk_bpf_pkt_ctx类型的指针ctx,返回一个uint64_t类型的值。在这个例子中,函数体里也没有实际的逻辑操作,只是返回了一个宏定义的GK_BPF_PKT_RET_DECLINE值,表示拒绝此数据包。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值