- 博客(11)
- 资源 (2)
- 收藏
- 关注
RSS订阅原创 AppArmor特殊策略文件
该目录包含可被配置文件包含的通用配置文件“块”的文件和目录。这些文件可以看作是访问规则库。abstraction文件可能包括其他抽象(如果合适的话——太频繁会使配置审计不那么清晰)。按照惯例,子目录用于对逻辑相关的抽象进行分组。AppArmor集成商可以在子目录中提供它们自己的一组抽象和更改。例如,Ubuntu使用abstractions/ubuntu-browsers. d/包含对Ubuntu中的web浏览器进行分析的抽象。
2024-03-15 15:04:52
591
1
原创 mmap,mprotect,msync与munmap函数
函数原型:/*参数addr用于指定映射存储区的起始地址,通常将其设置为0,这表示由系统选择该映射区的起始地址;参数fd指定要被映射文件的描述符;参数len是映射字节数;参数off是要映射字节在文件中的起始偏移量;另外,off和addr的值必须是页面大小的整数倍页面的大小可以由sysconf(_SC_PAGE_SIZE)来返回.参数prot:PROT_READ 映射区可读PROT_WRITE 映射区可写PROT_EXEC 映射区可执行PROT_NONE 映射区不可访问。
2024-03-13 15:45:14
667
原创 clone,fork与pthread_create函数
比如进程P1要向另外一个进程P2中的某个线程发送信号时,既不能使用P2的pid,更不能使用线程的pthread id,而只能使用该线程的真实pid,称为tid。Linux下的POSIX线程也有一个id,类型 pthread_t,由pthread_self()取得,该id由线程库维护,其id空间是各个进程独立的(即 不同进程中的线程可能有相同的id)。Linux中的POSIX线程库实现的线程其实也是一个进程(LWP),只是该进程与主进程(启动线程的进程)共享一些资源而已,比如代码段,数据段等。
2024-03-12 20:54:04
787
1
原创 unshare与setns函数
作用:分离进程执行上下文的各个部分,允许进程(或线程)解除当前与其他进程(或线程)部分共享的执行上下文;unshare() 允许进程在不创建新进程的情况下控制(主要是取消共享)其共享的执行上下文。当使用 fork(2) 或 vfork(2) 创建新进程时,有的执行上下文,比如命名空间是隐式共享的,即如果你不显式的指定,那么默认创建的子进程或子线程都在同一个命名空间当中。使用clone(2)创建进程或者线程式,有的执行上下文,比如虚拟内存需要显式的指定。
2024-03-12 20:07:18
597
1
原创 利用overlayfs实现文件系统的安全隔离
OverlayFS,一种堆叠文件系统,不直接参与磁盘空间结构的划分,是建立在其它的文件系统之上,其作用就像一个文件集合,可以将不同目录和文件合并到一个指定的目录上;
2024-03-12 17:11:23
1648
1
原创 name_to_handle_at函数和open_by_handle_at函数
dirfdpathnamehandlemount_idflagsmount_fdhandleflagsname_to_handle_at()和open_by_handle_at()系统调用将openat(2)的功能分为两部分:name_to_handle_at(): 返回一个对应于指定文件的不透明句柄;open_by_handle_at(): 打开与前面调用name_to_handle_at()返回的句柄对应的文件,并返回一个打开的文件描述符。
2024-02-22 21:04:23
869
原创 linux mount命令与函数详解
mount操作是用来挂载文件系统,需要在特权级(CAP_SYS_ADMIN)下执行;将source指定的文件系统(通常是指向设备的路径名,但也可以是目录或文件的路径名,或者是虚拟字符串)附加到target中路径名指定的位置(目录或文件)。umount操作是用来卸载文件系统,同样需要在特权级(CAP_SYS_ADMIN)下执行;
2024-02-22 16:55:49
1841
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人