[Linux]seccomp沙盒机制

最新推荐文章于 2024-05-03 19:33:02 发布
最新推荐文章于 2024-05-03 19:33:02 发布
阅读量2.1k 收藏 2
点赞数 1
分类专栏: Linux的一些知识
原文链接:https://szlin.me/2017/08/23/kernel_seccomp/ https://blog.csdn.net/ATOOHOO/article/details/88957596
版权

Seccomp机制简介

seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如劫持程序流后通过execve的syscall来getshell.通过seccomp我们可以在程序中禁用掉某些syscall,这样就算劫持了程序流也只能调用部分的syscall了.

2、 使用seccomp

#include <stdio.h>
#include <unisted.h>
#include <seccomp.h>

int main(void){

         scmp_filter_ctx ctx;

         ctx = seccomp_init(SCMP_ACT_ALLOW);

         seccomp_rule_add(ctx, SCMP_ACT_KILL, SCMP_SYS(execve), 0);

         seccomp_load(ctx);

         char * filename = "/bin/sh";

         char * argv[] = {"/bin/sh",NULL};

         char * envp[] = {NULL};

         write(1,"i will give you a shell\n",24);

         syscall(59,filename,argv,envp);//execve

         return 0;
}

今天做题遇到的沙盒机制

通过prctl(PR_SET_SECCOMP, 2, …)设置沙盒,禁用一些syscall,
在这里插入图片描述
PR_SET_NO_NEW_PRIVS=38
在这里插入图片描述

使用工具

seccomp(github上)可以识别沙盒的规则,还可以自己写规则
在这里插入图片描述

Joaus
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LINUX SECCOMP模块介绍
SHELLCODE_8BIT的博客
11-22 2912
Seccomp是 "secure computing" 的 缩写。Linux内核2.6.12版本(2005年3月8日)引入。是linux一个安全模块,用于限制程序系统调用;我们来看下例子。
Seccomp BPF 详细解析
x646602196的博客
04-13 1423
Secommp (SECure COMPuting) 是 Linux 内核 2.6.12 版本引入的安全模块,主要是用来限制某一进程可用的系统调用 (system call)。它最初被用于 cpushare 这个项目,让人们可以出租自己空闲的 cpu cycle 来执行 untrusted code。这个 feature 本身并不是一个沙盒 (sandbox),它只是一种减少 Linux 内核暴露的机制,是构建一个安全的沙盒的重要组成部分。
2024年网络安全最全Sandbox的安全机制 —— 使用 seccomp(1)
最新发布
2401_84297618的博客
05-03 567
什么是seccompseccomp(全称 secure computing mode)是linux kernel从2.6.23版本开始所支持的一种安全机制seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的。比如劫持程序流后通过execve的syscall来。通过seccomp我们可以在程序中禁用掉某些syscall,这样就算劫持了程序流也只能调用部分的syscall了.通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,同时是程序进入一
k8s进阶5——AppArmor、Seccomp、ImagePolicyWebhook
百慕卿君博客
05-25 1723
1、AppArmor限制容器对资源访问实战。 2、Seccomp限制容器进程系统调用实战,分别基于自定义策略和容器运行时默认策略。 3、ImagePolicyWebhook控制器实战
Linux Seccomp 简介
小立仔
02-27 1056
Linux Seccomp简介,以及其简单的使用。
上手 seccomp
龙瑜的博客
01-21 1952
NAME seccomp - operate on Secure Computing state of the process SYNOPSIS #include <linux/seccomp.h> #include <linux/filter.h> #include <linux/audit.h> #include <linux/signal.h> #include <sys/ptrace.h> int seccomp(unsigned i
AndroidQ沙盒机制之分区存储适配
08-19
"AndroidQ沙盒机制之分区存储适配" Android Q引入了沙盒机制之分区存储适配,旨在提高应用程序对外部存储设备的访问控制和隐私性。该机制主要包括三个部分:应用私有文件的隔离存储沙盒、媒体文件的共享集合和访问...
iOS沙盒机制简介
08-10
### iOS沙盒机制详解 #### 一、沙盒机制概念及优势 **沙盒机制**是iOS操作系统中的一项重要安全特性,它确保每个应用程序都运行在一个独立且受限的环境中,以此来保护用户数据的安全和隐私。简单来说,沙盒机制为...
iOS沙盒机制
12-02
沙盒解析初步,初步了解沙盒的运作过程,为以后的IOS学系,做基础铺垫
PaaS沙盒机制原理分析.pdf
07-07
PaaS(Platform as a Service)沙盒机制是云计算平台中的一种关键安全措施,它为运行在云端的应用程序提供了一个受限的执行环境,确保应用程序在使用资源时不会超出预设的限制,同时保护平台免受恶意代码的攻击。...
seccomp-nurse:基于SECCOMP的沙盒框架
05-19
这是一个有趣的项目,但是它不再编译/运行,并且现在已经实现了更好的机制:firejail,crosvm,gvisor等。关于seccomp-nurse是基于SECCOMP的沙箱框架。如何使用它? $ git clone git://github....
Linux系统编程 —— seccomp沙箱安全机制
柯西丶不是你的博客
05-12 4627
一、简介 安全计算模式 seccomp(Secure Computing Mode)是自 Linux 2.6.10 之后引入到 kernel 的特性。一切都在内核中完成,不需要额外的上下文切换,所以不会造成性能问题。目前 在 Docker 和 Chrome 中广泛使用。使用 seccomp,可以定义系统调用白名单和黑名单,可以 定义出现非法系统调用时候的动作,比如结束进程或者使进程调用失败。 seccomp机制用于限制应用程序可以使用的系统调用,增加系统的安全性。 在/proc/${pid}/st.
使用PR_GET_NO_NEW_PRIVS 避免安全漏洞
killmice的专栏
05-21 2052
PR_SET_NO_NEW_PRIVS当一个进程或其子进程设置了PR_SET_NO_NEW_PRIVS 属性,则其不能访问一些无法share的操作,如setuid, 和chroot.这是kernel 3.5 以后加的feature.主要用于安全目的. http://lwn.net/Articles/478062/ Test it like this: ---- begin t
简单说说容器/沙盒(Sandbox)以及Linux seccomp
热门推荐
Netfilter
07-20 1万+
如果应用程序逻辑有误,会造成操作系统崩溃… 这句话其实不对。如果一个应用程序都能让一个操作系统崩溃了,那这一定是这个系统在设计上或者实现上的BUG!再次重申,我不知道谭浩强的C语言教材现在是怎么讲的,但是至少在15年前,很多老师都会说访问空指针会造成操作系统崩溃,这在32位虚拟内存的系统中是错误的。 虽然一个应用程序不能让一个正常的现代操作系统崩溃,但是它却可以对操作系统的运行环境造成巨大...
seccomp
jason的笔记
07-05 2489
seccomp主要是用来对系统调用权限控制的,用户可以通过prctl或者seccomp_init/seccomp_rule_add/seccomp_load等函数来限制用户控件对每个系统调用的是否禁止通过下面的命令可以查看某个进程的设置的seccomp状态[root@localhost ~]# cat /proc/1/statusSeccomp:        0...
LINUX系统安全_SANDBOX
vichie2008的专栏
09-09 4303
Sandbox沙箱在计算机领域中是一种程序隔离的机制,其目的则是限制不可信进程的权限。沙箱技术则常用于执行未经测试的或不可信的客户程序,(比如沙箱杀毒一类的),为了避免不可信程序可能破坏其他的程序运行,沙箱技术可以为不可信的程序提供虚拟化的磁盘,内存以及网络资源,而这又是对客户是透明的。 常规的安全机制则主要以降权来解决问题,但降权并不能带来真正的安全,sandbox也不能带来全方位的安全,
pwn -- 沙盒机制详解
lifanxin的博客
05-13 6388
沙盒机制详解概述开启沙盒的两种方式prctl函数调用seccomp库函数使用seccomp-tools识别沙盒两道例题pwnable_asm参考博客总结 概述   沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。   在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,只
linux沙箱(sandbox)技术_百度文库
wangkaiblog的专栏
11-03 908
摘自: http://wenku.baidu.com/link?url=P-ieKlpPulaFTfc17_MYSOjTfOVRIDyiFA7TvFSm5hJA1Qdr08mBlNAiNTniywYx-s95OKKSmRyGKlv5NYUwldbmss1rhVFGRAaQI_bH6bu
prctl()和pthread_setname_np()函数-设置线程名称
mayue_web的博客
06-17 2492
设置线程名称、Linux/Unix pthread头文件
iOS沙盒机制与文件存储操作详解
iOS沙盒机制与文件存储操作是iOS开发者在构建应用时至关重要的知识点。iOS的沙盒策略确保了应用的安全性与隔离性,它限制了应用程序对设备文件系统的访问,只允许在特定区域内进行文件操作,防止不同应用之间的数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值