seccomp介绍

最新推荐文章于 2024-04-12 02:04:23 发布
最新推荐文章于 2024-04-12 02:04:23 发布
阅读量2w 收藏 14
点赞数 4
分类专栏: 学习笔记 文章标签: seccomp linux kernel secure
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mashimiao/article/details/73607485
版权

什么是seccomp

seccomp(全称securecomputing mode)是linuxkernel2.6.23版本开始所支持的一种安全机制。

Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,同时是程序进入一种“安全”的状态。

详细介绍可参考seccomp内核文档


如何使用seccomp

seccomp可以通过系统调用ptrctl(2)或者通过系统调用seccomp(2)开启,前提是内核配置中开启了CONFIG_SECCOMPCONFIG_SECCOMP_FILTER

seccomp支持两种模式:SECCOMP_MODE_STRICTSECCOMP_MODE_FILTER。在SECCOMP_MODE_STRICT模式下,进程不能使用read(2)write(2)_exit(2)sigreturn(2)以外的其他系统调用。在SECCOMP_MODE_FILTER模式下,可以利用BerkeleyPacket Filter配置哪些系统调用及它们的参数可以被进程使用。


如何查看是否使用了seccomp

通常有两种方法:

  1. 利用prctl(2)PR_GET_SECCOMP的参数获取当前进程的seccomp状态。返回值0表示没有使用seccomp;返回值2表示使用了seccomp并处于SECCOMP_MODE_FILTER模式;其他情况进程会被SIGKILL信号杀死。

  2. Linux3.8开始,可以利用/proc/[pid]/status中的Seccomp字段查看。如果没有seccomp字段,说明内核不支持seccomp

淼哥
关注
  • 4
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
LINUX SECCOMP模块介绍
SHELLCODE_8BIT的博客
11-22 2940
Seccomp是 "secure computing" 的 缩写。Linux内核2.6.12版本(2005年3月8日)引入。是linux一个安全模块,用于限制程序系统调用;我们来看下例子。
SECCOMP
SHELLCODE_8BIT的博客
11-15 349
浅谈Linux SECCOMP安全机制在容器中的使用 - 腾讯云开发者社区-腾讯云 (tencent.com)
linux3.5 Seccomp
lhj893614438的博客
01-20 211
Seccomp (即“"secure computing”的别名)是2.6.12版本重新加入的简单沙盒机制,用来确保系统调用处于受限状态(仅允许对已打开的文件进行exit, sigreturn, read 和 write操作)。Seccomp现在又增加了新功能:不再是有限并且确定的系统调用,Seccomp现在已经成了一种过滤机制,用来管理一个系统调用是否被禁止(和Berkeley Packet F...
【云安全系列】Seccomp—云安全syscall防护利器
Rethinking the Kernel
10-28 5251
本文从 Seccomp 机制出发,在 linux 内核层面介绍Seccomp 可以实现的安全能力即对进程的系统调用限制能力。Kubernetes 为我们提供了可以对容器进行系统调用层面保护的接口即 Seccomp 能力。在云原生场景,通过使用 ebpf 的手段获取业务系统调用白名单,通过linux 内核支持的 Seccomp 机制对业务容器进行系统调用维度的防护,进而保证业务容器 syscall 层面的安全。
linux安全之seccomp
快乐时光
04-15 4235
介绍 seccomp按照字面意思可以理解为security computing,最早是作用于网格计算,主要通过限制进程的系统调用来完成部分沙箱隔离功能。 通过man prctl可以发现,seccomp的引入是在内核2.6.23,早期的seccomp主要限制read、write、exit以及sigreturn四个系统调用。内核3.5版本引入filter模式,将seccomp分成strict和filter两种。其中strict依旧限制四种系统调用,而filter模式则借助了Berkeley ...
上手 seccomp
龙瑜的博客
01-21 2078
NAME seccomp - operate on Secure Computing state of the process SYNOPSIS #include <linux/seccomp.h> #include <linux/filter.h> #include <linux/audit.h> #include <linux/signal.h> #include <sys/ptrace.h> int seccomp(unsigned i
Docker系统容器架构介绍.pptx
10-11
Docker 系统容器架构介绍 Docker 系统容器架构是当前流行的容器化解决方案,它可以将应用程序和依赖项封装到一个容器中,从而实现应用程序的可移植性和灵活性。下面是 Docker 系统容器架构的详细介绍: 一、什么是...
ubuntu16.04下的Lxc介绍
01-22
最后,LXC在安全性方面提供了多种机制,包括但不限于Apparmor、Seccomp和SELinux等安全模块,以保证容器内的应用程序和数据的安全性。 总的来说,LXC为Ubuntu 16.04提供了一个强大、高效且易于管理的容器化解决方案...
fptrace:记录进程启动以及每个进程读取和写入的文件
05-11
介绍 fptrace是一个Linux进程跟踪工具,它记录进程启动和文件访问。 结果可以保存在deps.json文件中或用于生成启动器脚本。 它的工作方式类似于strace但产生机器可读的输出,并将相对路径名解析为绝对路径名。 (可...
NCKU-Online-Judge:演示在线裁判系统
05-17
新版沙盒基于linux seccomp实作,具备Web API接口,目前支援C语言编译与执行,简要演示可见 旧版沙盒采用了 测试题目集来自与 。 搭建环境 Ubuntu 14.04 与Linux Mint Cinnamon 皆可正常运作 伺服端须搭载PHP、MySQL...
seccomp-tools:提供用于seccomp分析的强大工具
04-06
Seccomp工具 提供用于seccomp分析的强大工具。 该项目旨在(但不限于)分析CTF pwn挑战中的seccomp沙箱。 某些功能可能是CTF特有的,但对于在实际情况下分析seccomp仍然有用。 特征 转储-自动从执行文件中转储seccomp-bpf。 Disasm-将bpf转换为人类可读的格式。 简单的反编译。 尽可能显示系统调用名称和参数。 丰富多彩的! Asm-编写seccomp规则是如此简单! mu-模拟seccomp规则。 支持多架构。 安装 在RubyGems.org上可用! $ gem install seccomp-tools 如果编译时失败,请尝试: sudo apt install gcc ruby-dev 并再次安装seccomp-tools。 命令行界面 seccomp工具 $ seccomp-tools --help # Usage:
hsseccomp:与libseccomp的绑定
05-12
libseccomp 是Linux内核的用户空间接口,它允许程序设置一个“安全策略”(通常称为seccomp过滤器),该策略定义了哪些系统调用被允许,哪些被阻止。这个机制的核心是Seccomp(Secure Computing)模式,它首次出现在...
Linux seccomp机制
、moddemod
06-19 1984
简介 seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如程序劫持程序流后通过execve的syscall来getshell。通过seccomp我们可以在程序中禁用掉某些syscall,这就就算劫持了程序流也只能调用部分的syscall了 演示 正常的系统调用,可以使用所有系统调用 #include<unistd.h> #include<sys/syscall.h> int main() { char * filename =
理解Seccomp
漫步量化
12-25 421
Seccomp seccomp (short for secure computing mode) is a computer security facility in the Linux kernel. seccomp allows a process to make a one-way transition into a “secure” state where it cannot make any system calls exit(), sigreturn(), read(), write() ..
Sec-comp机制简介及编程案例
李老板的移动安全杂货铺
12-03 1277
然后,我们使用`seccomp_rule_add()`函数添加了一些允许的系统调用,例如`open()`、`read()`、`write()`和`close()`。然后,我们使用`seccomp_load()`函数加载seccomp过滤器,`prctl()`函数将本进程设置为seccomp模式,并运行了“she'll”进程(你可以将路径更改为she'll进程的正确路径)。seccomp机制的优点是可以有效地限制应用程序的权限和可执行的系统调用,减少了恶意代码的攻击面,提高了系统的安全性。
seccomp的学习
凌云俯瞰
04-01 8452
做pwn,用seccomp做沙箱保护很常见。有时候seccomp后面会跟一个结构体,趁此机会学习一把。 1、 简介 seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如劫持程序流后通过execve的syscall来getshell.通过seccomp我们可以在程序中禁用掉某些syscall,这样就算劫持了程序流也只能调用部分的syscall了. 2...
Sandbox的安全机制 —— 使用 seccomp(1)
最新发布
2301_76223496的博客
04-12 1019
char *argv[] = {“/bin/sh”, NULL};char *envp[] = {NULL};syscall(SYS_execve, filename, argv, envp); // execvereturn 0;}编译gcc -o ban ban.c -l seccomp运行程序songyangji@SongyangJi-Ubuntu-DeskStop:~/桌面$ ./ban错误的系统调用 (核心已转储) # Bad system call (core dumped)api rule根据
Linux Seccomp 简介
小立仔
02-27 1145
Linux Seccomp简介,以及其简单的使用。
Google官方介绍Android O中的Seccomp过滤器
weixin_34375233的博客
07-31 261
文 / Android 安全工程师 Paul Lawrence在运行 Android 的设备中,强制执行 Android 安全模型的重任交给内核处理。由于安全团队已加固 Android 用户空间,隔离进程并削弱进程的权限,因此,越来越多的安全攻击将其焦点转到内核上。系统调用是攻击者攻击内核的常用方式之一。所有 Android 软件都使用系统调用(简称为 syscall)与 Linux 内核进行通信...
简单介绍一下podman
07-14
Podman是一个用于管理和运行容器的开源工具,它提供了与Docker类似的命令行界面和功能。与Docker不同的是,Podman不依赖于守护进程,而是直接在用户空间中以普通用户身份运行容器。 Podman的特点和功能包括: 1. 容器管理:Podman可以创建、启动、停止、删除和查询容器。它支持使用容器镜像创建容器,并可以设置容器的资源限制和网络配置。 2. 镜像管理:Podman可以下载、更新、列出和删除容器镜像。它支持从Docker Hub等镜像仓库下载镜像,并可以导入和导出镜像文件。 3. 容器网络:Podman支持创建自定义网络并将容器连接到网络中。它还提供端口转发功能,允许容器与主机或其他容器之间进行网络通信。 4. 安全性:Podman采用了一系列安全措施,如使用用户命名空间和Seccomp来增强容器的安全性。它还支持基于SELinux的访问控制。 5. 兼容性:Podman与OCI(Open Container Initiative)标准兼容,因此可以与其他符合OCI标准的工具和平台进行集成。 Podman是一个轻量级且易于使用的容器管理工具,适用于开发人员和系统管理员。它提供了更加灵活和安全的容器解决方案,可以在Linux系统上运行,并且不需要特权或后台守护进程。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值