seccomp-bpf

最新推荐文章于 2024-07-10 16:47:58 发布
最新推荐文章于 2024-07-10 16:47:58 发布
阅读量282 收藏 9
点赞数 5
文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013347872/article/details/139095995
版权

seccomp-bpf介绍

seccomp

Linux 2.6.12中的导入了第一个版本的seccomp,通过向/proc/PID/seccomp接口中写入“1”来启动通过滤器,最初只有一个模型:严格模型下模(strict mode)编译限制的进程使用:

PLAINTEXT

1

read,write,_exit,sigreturn

使用其他系统调用就会收到信号(SIGKILL)退出。测试代码如下:

C

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35

#include <fcntl.h>
#include <stdio.h>
#include <unistd.h>
#include <sys/prctl.h>
#include <linux/seccomp.h>

void configure_seccomp() {
    printf("Configuring seccomp\n");
    prctl(PR_SET_SECCOMP, SECCOMP_MODE_STRICT);
}
int main(int argc, char* argv[]) {
    int infd, outfd;
    if (argc < 3) {
        printf("Usage:\n\t%s <input path> <output_path>\n", argv[0]);
        return -1;
    }
    printf("Starting test seccomp Y/N?");
    char c = getchar();
    if (c == 'y' || c == 'Y') configure_seccomp();
    printf("Opening '%s' for reading\n", argv[1]);
    if ((infd = open(argv[1], O_RDONLY)) > 0) {
        ssize_t read_bytes;
        char buffer[1024];
        printf("Opening '%s' for writing\n", argv[2]);
        if ((outfd = open(argv[2], O_WRONLY | O_CREAT, 0644)) > 0) {
            while ((read_bytes = read(infd, &buffer, 1024)) > 0)
                write(outfd, &buffer, (ssize_t)read_bytes);
        }
        close(infd);
        close(outfd);
    }
    printf("End!\n");

    return 0;
}

header


可以看到执行到22行就结束了没用执行到 Eed.

seccomp-bpf

Seccomp-BPF(Berkeley Packet Filter)是Linux内核中的一种安全机制,用于限制进程对系统调用的访问权限。它主要用于防止恶意软件对系统的攻击,提高系统的安全性。

Seccomp-BPF使用BPF(Berkeley Packet Filter)技术来实现系统调用过滤,可以使用BPF程序指定哪些系统调用可以被进程访问,哪些不能。BPF程序由一组BPF指令组成,可以在系统调用执行之前对其进行检查,以决定是否允许执行该系统调用。

Seccomp-BPF提供了两种模式:白名单模式和黑名单模式。白名单模式允许所有系统调用,除非明确指定不允许的系统调用。黑名单模式禁止所有系统调用,除非明确指定允许的系统调用。这两种模式的选择取决于您的实际需求。

Seccomp-BPF提供了一个钩子函数,在系统调用执行之前会进入到这个函数,对系统调用进行检查,如果BPF程序允许执行该系统调用,则进程可以继续执行,否则会抛出一个异常。

1.BPF确定了一个可以在内核内部实现的虚拟机,该虚拟机具有以下特性:

PLAINTEXT

最低0.47元/天 解锁文章
u013347872
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
go-seccomp-bpf:Go库,用于安装seccomp BPF系统调用过滤器
05-09
go-seccomp-bpf go-seccomp-bpf是Go(golang)的库,用于通过使用安全计算模式(也称为seccomp)在Linux 3.17及更高版本上加载系统调用筛选器。 Seccomp限制进程可以调用的系统调用。 内核公开了大多数进程不使用的大量系统调用。 通过安装seccomp过滤器,您可以限制暴露给进程的内核总数(最低特权原则)。 这样可以最大程度地减少过程中可能发现的未知漏洞的影响。 过滤器表示为Berkeley数据包过滤器(BPF)程序。 BPF程序是根据您创建的过滤策略生成的。 要求 需要Linux 3.17,因为它使用seccomp syscall以便利用SECCOMP_FILTER_FLAG_TSYNC标志将过滤器同步到所有线程。 特征 纯Go,并且没有libseccomp依赖项。 过滤器是可自定义的,可以写入白名单或黑名单。 使用SECCOMP
Seccomp BPF 详细解析
x646602196的博客
04-13 1385
Secommp (SECure COMPuting) 是 Linux 内核 2.6.12 版本引入的安全模块,主要是用来限制某一进程可用的系统调用 (system call)。它最初被用于 cpushare 这个项目,让人们可以出租自己空闲的 cpu cycle 来执行 untrusted code。这个 feature 本身并不是一个沙盒 (sandbox),它只是一种减少 Linux 内核暴露的机制,是构建一个安全的沙盒的重要组成部分。
【云安全系列】让Seccomp“动“起来­­--SeccompNotify
Rethinking the Kernel
11-05 4676
Seccomp 作为最早一批系统级安全防护机制,从最开始只支持4个 syscall 的保护,逐步发展到 300+syscall 管控,再到现在在用户态定义的动态管控。可以察觉系统安全正在逐步由小部分的内核开发维护人员,向着更加普遍且大众开发者贴近。本文通过实际编码的方式,着重介绍了 SeccompNotify 在进程中通过将裁决移交给第三方进程,从而达到约束 target 进程的功能。除此之外,还概括了目前 SeccompNotify 主要使用的场景和注意事项;
LINUX SECCOMP模块介绍
SHELLCODE_8BIT的博客
11-22 2894
Seccomp是 "secure computing" 的 缩写。Linux内核2.6.12版本(2005年3月8日)引入。是linux一个安全模块,用于限制程序系统调用;我们来看下例子。
一个轻量级的进程隔离工具,利用Linux名称空间和seccomp-bpf syscall过滤器(借助kafel bpf语言)-C/C++开发
05-26
概述它提供了哪些隔离形式支持哪些用例隔离网络服务(inetd样式)可以访问私有克隆接口的隔离(需要root / setuid)隔离o概述它提供了哪种隔离形式?支持案例隔离网络服务(inetd样式)隔离访问私有的克隆接口(需要root / setuid)隔离本地进程隔离本地进程(并在必要时重新运行)在Windows中使用Bash的示例使用uid == 0的最小文件系统,并且只能在最小文件系统中访问/ dev / urandom / usr / bin / find(只能从/ usr / bin访问/ usr / bin / find)使用/ etc / subuid甚至更多的
seccomp-tools:提供用于seccomp分析的强大工具
04-06
转储-自动从执行文件中转储seccomp-bpf。 Disasm-将bpf转换为人类可读的格式。 简单的反编译。 尽可能显示系统调用名称和参数。 丰富多彩的! Asm-编写seccomp规则是如此简单! mu-模拟seccomp规则。 支持多...
Firejail是Linux命名空间和seccomp-bpf沙箱-Linux开发
05-27
Firejail是一个SUID沙箱程序,它使用Linux名称空间,seccomp-bpf和Linux功能来限制不受信任的应用程序的运行环境,从而降低了违反安全性的风险。 它允许进程及其所有后代对全局共享的内核资源(例如,网络堆栈,进程...
firejail:Linux名称空间和seccomp-bpf沙箱
03-28
Firejail是一个SUID沙盒程序,它使用Linux名称空间,seccomp-bpf和Linux功能来限制不受信任的应用程序的运行环境,从而降低了违反安全性的风险。 它允许进程及其所有后代对全局共享的内核资源(例如,网络堆栈,...
nsjail:一个轻量级的进程隔离工具,利用Linux名称空间和seccomp-bpf syscall过滤器(借助kafel bpf语言)
02-02
它基于Linux操作系统,利用了Linux内核提供的高级功能,如**名称空间(namespaces)** 和 **Secure Computing(seccomp)**,以及**BPF(Berkeley Packet Filter)** 的syscall过滤机制。在本文中,我们将深入探讨...
Introduction to Seccomp: BPF linux syscall filter
魏巍的博客
02-14 1949
Seccomp Introduction Seccomp Security Profiles for Docker 2.1 Docker default seccomp profile 2.2 Use custom Seccomp profile 2.3 Docker Run without the default seccomp profile
seccomp介绍
热门推荐
mashimiao的专栏
06-22 2万+
什么是seccomp seccomp(全称securecomputing mode)是linuxkernel从2.6.23版本开始所支持的一种安全机制。 在Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,
Linux bpf 3.1、Berkeley Packet Filter (BPF) (Kernel Document)
pwl999的博客
09-07 5036
关于bpf最早是应用于network的filter,后续才被应用到trace,所以kernel中关于bpf的文档是”Documentation/networking/filter.txt”。 参考原文:Linux Socket Filtering aka Berkeley Packet Filter (BPF) 1、简介: LSF(Linux Socket Filtering)是从BPF...
seccomp的学习
凌云俯瞰
04-01 8417
做pwn,用seccomp做沙箱保护很常见。有时候seccomp后面会跟一个结构体,趁此机会学习一把。 1、 简介 seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如劫持程序流后通过execve的syscall来getshell.通过seccomp我们可以在程序中禁用掉某些syscall,这样就算劫持了程序流也只能调用部分的syscall了. 2...
Linux系统编程 —— seccomp沙箱安全机制
柯西丶不是你的博客
05-12 4581
一、简介 安全计算模式 seccomp(Secure Computing Mode)是自 Linux 2.6.10 之后引入到 kernel 的特性。一切都在内核中完成,不需要额外的上下文切换,所以不会造成性能问题。目前 在 Docker 和 Chrome 中广泛使用。使用 seccomp,可以定义系统调用白名单和黑名单,可以 定义出现非法系统调用时候的动作,比如结束进程或者使进程调用失败。 seccomp机制用于限制应用程序可以使用的系统调用,增加系统的安全性。 在/proc/${pid}/st.
【云安全系列】Seccomp—云安全syscall防护利器
Rethinking the Kernel
10-28 5172
本文从 Seccomp 机制出发,在 linux 内核层面介绍了 Seccomp 可以实现的安全能力即对进程的系统调用限制能力。Kubernetes 为我们提供了可以对容器进行系统调用层面保护的接口即 Seccomp 能力。在云原生场景,通过使用 ebpf 的手段获取业务系统调用白名单,通过linux 内核支持的 Seccomp 机制对业务容器进行系统调用维度的防护,进而保证业务容器 syscall 层面的安全。
linux安全之seccomp
快乐时光
04-15 4161
介绍 seccomp按照字面意思可以理解为security computing,最早是作用于网格计算,主要通过限制进程的系统调用来完成部分沙箱隔离功能。 通过man prctl可以发现,seccomp的引入是在内核2.6.23,早期的seccomp主要限制read、write、exit以及sigreturn四个系统调用。内核3.5版本引入filter模式,将seccomp分成strict和filter两种。其中strict依旧限制四种系统调用,而filter模式则借助了Berkeley ...
36. Adam 算法详解
最新发布
qq_41238579的博客
07-10 958
Adam(Adaptive Moment Estimation)是一种结合动量法和自适应学习率的优化算法,自2014年提出以来,迅速成为深度学习中最流行和常用的优化算法之一。Adam算法的核心思想是利用梯度的一阶动量和二阶动量来动态调整学习率,既保持了动量法的优点,又结合了RMSProp的自适应学习率特性。
cilium加载tc-bpf在会失败,可能是什么原因?
02-14
Cilium加载tc-bpf失败的可能原因有很多,下面列举几种常见的情况: 1.内核版本不兼容:如果你使用的内核版本过低,可能不支持tc-bpf,建议更新到最新版本。 2.缺少必要的内核模块:如果你的系统缺少bpf或cls_bpf模块,可能会导致加载失败,请检查是否已安装该模块。 3.资源限制:如果你的系统资源(如内存)不足,可能会导致加载失败。 4.权限问题:如果你不具有使用tc命令的权限,则可能加载失败。 如果遇到这种情况,建议检查日志和错误信息以获得更详细的信息,以帮助确定根本原因。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值