linux安全之seccomp

最新推荐文章于 2024-09-19 23:07:41 发布
最新推荐文章于 2024-09-19 23:07:41 发布
阅读量4.5k 收藏 8
点赞数 2
分类专栏: 系统安全 文章标签: linux 操作系统 安全 hooks 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013250169/article/details/115669655
版权
本文深入介绍了Linux的seccomp技术,从早期的strict模式到filter模式的演变。seccomp主要用于限制进程的系统调用,提供安全计算环境。在strict模式下,仅允许四个基本系统调用;而在filter模式下,通过Berkeley Packet Filter实现精细控制。设置seccomp使用prctl系统调用,拦截系统调用则在syscall_trace_enter函数中进行。filter模式下,用户可以定义复杂的过滤规则,根据返回值决定系统调用的执行与否。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

介绍

    seccomp按照字面意思可以理解为security computing,最早是作用于网格计算,主要通过限制进程的系统调用来完成部分沙箱隔离功能。

    通过man prctl可以发现,seccomp的引入是在内核2.6.23,早期的seccomp主要限制read、write、exit以及sigreturn四个系统调用。内核3.5版本引入filter模式,将seccomp分成strict和filter两种。其中strict依旧限制四种系统调用,而filter模式则借助了Berkeley Pakcet Filter来进行更细致的指令和参数控制。

 

STRICT模式

    我们可以查阅2.6.32内核代码来了解strict模式下的系统调用控制是如何实现的。

设置

    seccomp是通过prctl系统调用来进行设置的。

    具体使用: prctl(PR_SET_SECCOMP, 1,  0, 0, 0),第二个参数设置为1即可。

    通过sys_prctl进行追踪,在prctl_set_seccomp函数中,将当前进程结构(struct task_struct结构)中的seccomp中的mode标记设置为1,并将thread_info中flag设置为TIF_SECCOMP。

    我们可以由此猜测,只要将对应的进程task_struct结构中的对应标记mode置位,则可以进行进程系统调用限制。程序可通过prctl给自己做限制,如果想限制其他程序,则需要在自己制作的测试驱动中,通过对不同的测试程序设置mode,来测试该功能,参考如下:

read_lock(&tasklck);
for_each_process(p) {
    if (p->pid == seccomp_pid) {
        p_pid_address = &(p->seccomp.mode);
        ori_seccomp_mode = *p_pid_address;
        *p_pid_address = 1;
        break;
    }
 }
read_unlock(&tasklck);

 

拦截

    每个系统调用都会陷入系统调用控制函数syscall_trace_enter中,该函数中调用了secure_computing,系统调用号作为

最低0.47元/天 解锁文章
LINUX SECCOMP模块介绍
SHELLCODE_8BIT的博客
11-22 3114
Seccomp是 "secure computing" 的 缩写。Linux内核2.6.12版本(2005年3月8日)引入。是linux一个安全模块,用于限制程序系统调用;我们来看下例子。
SECCOMP
SHELLCODE_8BIT的博客
11-15 518
浅谈Linux SECCOMP安全机制在容器中的使用 - 腾讯云开发者社区-腾讯云 (tencent.com)
seccomp介绍
mashimiao的专栏
06-22 2万+
什么是seccomp seccomp(全称securecomputing mode)是linuxkernel从2.6.23版本开始所支持的一种安全机制。 在Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,
Linux Seccomp 简介
小立仔
02-27 2065
Linux Seccomp简介,以及其简单的使用。
Linux Seccomp 简介_seccomp严格模式(1),作为网络安全程序员
sfdsfgdgd的博客
04-08 956
Killed。
Linux Seccomp 简介_seccomp严格模式
m0_60226911的博客
04-28 696
return 0;
Firejail是Linux命名空间和seccomp-bpf沙箱-Linux开发
05-27
Firejail是一个SUID沙箱程序,它使用Linux名称空间,seccomp-bpf和Linux功能来限制不受信任的应用程序的运行环境,从而降低了违反安全性的风险。 它允许进程及其所有后代对全局共享的内核资源(例如,网络堆栈,进程...
Sandbox的安全机制 —— 使用 seccomp
2401_85112749的博客
06-04 433
如何查看是否使用了seccomp通常有两种方法:利用的PR_GET_SECCOMP的参数获取当前进程的seccomp状态。返回值0表示没有使用seccomp;返回值2表示使用了seccomp并处于SECCOMP_MODE_FILTER模式;其他情况进程会被SIGKILL信号杀死。从Linux3.8开始,可以利用/proc/$pid/status中的Seccomp字段查看。如果没有seccomp字段,说明内核不支持seccomp。查看mysql服务的seccomp的状态,发现并没有进入安全限制模式。cat /
Linux系统编程 —— seccomp沙箱安全机制
柯西丶不是你的博客
05-12 5171
一、简介 安全计算模式 seccomp(Secure Computing Mode)是自 Linux 2.6.10 之后引入到 kernel 的特性。一切都在内核中完成,不需要额外的上下文切换,所以不会造成性能问题。目前 在 Docker 和 Chrome 中广泛使用。使用 seccomp,可以定义系统调用白名单和黑名单,可以 定义出现非法系统调用时候的动作,比如结束进程或者使进程调用失败。 seccomp机制用于限制应用程序可以使用的系统调用,增加系统的安全性。 在/proc/${pid}/st.
[Linux]seccomp沙盒机制
Joaus的博客
10-08 2233
Seccomp机制简介 seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如劫持程序流后通过execve的syscall来getshell.通过seccomp我们可以在程序中禁用掉某些syscall,这样就算劫持了程序流也只能调用部分的syscall了. 2、 使用seccomp #include <stdio.h> #include ...
linux3.5 Seccomp
lhj893614438的博客
01-20 263
Seccomp (即“"secure computing”的别名)是2.6.12版本重新加入的简单沙盒机制,用来确保系统调用处于受限状态(仅允许对已打开的文件进行exit, sigreturn, read 和 write操作)。Seccomp现在又增加了新功能:不再是有限并且确定的系统调用,Seccomp现在已经成了一种过滤机制,用来管理一个系统调用是否被禁止(和Berkeley Packet F...
seccomp-tools:提供用于seccomp分析的强大工具
04-06
Seccomp工具 提供用于seccomp分析的强大工具。 该项目旨在(但不限于)分析CTF pwn挑战中的seccomp沙箱。 某些功能可能是CTF特有的,但对于在实际情况下分析seccomp仍然有用。 特征 转储-自动从执行文件中转储seccomp-bpf。 Disasm-将bpf转换为人类可读的格式。 简单的反编译。 尽可能显示系统调用名称和参数。 丰富多彩的! Asm-编写seccomp规则是如此简单! mu-模拟seccomp规则。 支持多架构。 安装 在RubyGems.org上可用! $ gem install seccomp-tools 如果编译时失败,请尝试: sudo apt install gcc ruby-dev 并再次安装seccomp-tools。 命令行界面 seccomp工具 $ seccomp-tools --help # Usage:
Seccomp
最新发布
2301_80798825的博客
09-19 499
seccomp内核中的一种安全机制,正常情况下(没有打开seccomp),程序是可以使用所有的syscall,这是不安全的。ptrctl 和 seccomp 的系统调用分别为157,317;然后要想进行orw,我们得知道open,read,write函数的地址,可以通过libc加上printf函数泄露的函数地址就可以得到libc_base。1.在SECCOMP_MODE_STRICT的模式下,进程只能使用read,write,_exit 和 sigreturn系统调用。seccomp可以通过系统调用。
详细介绍seccomp
远方雪的专栏
09-09 607
通过这种方式,即使应用程序被攻破,攻击者也只能执行有限的系统调用,从而减少潜在的损害。Seccomp 允许进程进入一种受限的状态,在这种状态下,进程只能执行一组预先定义的系统调用。通过限制可用的系统调用,可以减少潜在的攻击面。然而,正确配置 Seccomp 需要对应用程序的行为有深入的了解,包括它需要调用哪些系统调用,以及这些调用的上下文。Seccomp 有两种模式:seccomp mode 1(也称为 strict mode)和 seccomp mode 2(也称为 filter mode)。
【容器安全系列Ⅵ】- Linux seccomp隔离
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
09-07 1410
在本系列中,我们介绍了各种安全层,这些安全层不仅可以将容器与主机上的其他进程隔离开来,还可以将容器与其底层主机隔离开来。在这篇文章中,我们将讨论容器运行时如何将 seccomp 过滤器用作“最后一道防线”。
【云安全系列】Seccomp—云安全syscall防护利器
Rethinking the Kernel
10-28 5476
本文从 Seccomp 机制出发,在 linux 内核层面介绍了 Seccomp 可以实现安全能力即对进程的系统调用限制能力。Kubernetes 为我们提供了可以对容器进行系统调用层面保护的接口即 Seccomp 能力。在云原生场景,通过使用 ebpf 的手段获取业务系统调用白名单,通过linux 内核支持的 Seccomp 机制对业务容器进行系统调用维度的防护,进而保证业务容器 syscall 层面的安全
linux 安全系列目录 - seccomp安全模块问题排查
热门推荐
yushuoqi的博客
11-03 2万+
seccomp是一种Linux内核特性,允许限制进程可以执行的系统调用,以增加应用程序的安全性。总的来说,libseccomp是一个强大的工具,可用于在Linux系统上实施安全策略,并限制应用程序的系统调用。
Linux/Android之seccomp介绍及使用(一百一十六)
Android系统攻城狮
07-06 4621
seccompLinux的一种安全机制,android 8.1以后版本使用seccomp.主要功能是限制直接通过syscall去调用某些系统函数 3.strict模式和filter模式应用 1.strict模式# emacs strict.c 2.基于BPF(伯克利分组过滤器)的seccomp安装依赖包 上述基于prctl系统调用的seccomp机制不够灵活,在linux 3.5之后引入了基于BPF的可定制的系统调用过滤功能。# emacs filter.c.........
Linux seccomp机制
、moddemod
06-19 2090
简介 seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如程序劫持程序流后通过execve的syscall来getshell。通过seccomp我们可以在程序中禁用掉某些syscall,这就就算劫持了程序流也只能调用部分的syscall了 演示 正常的系统调用,可以使用所有系统调用 #include<unistd.h> #include<sys/syscall.h> int main() { char * filename =
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值