Ptrace_scope的作用及设置

最新推荐文章于 2023-04-14 21:59:11 发布
最新推荐文章于 2023-04-14 21:59:11 发布
阅读量1.5k 收藏
点赞数
原文链接:http://www.cnblogs.com/cane/p/3909420.html
版权

echo "0"|sudo tee /proc/sys/kernel/yama/ptrace_scope

Short answer: no practical danger yet, but read on for a better way...

What's this ptrace thing anyway?

this is due to a bug in the Ubuntu kernel that prevents ptrace and WINE playing well together.

  • No, ptrace protection is a deliberate kernel security measure first introduced around Ubuntu 10.10. It's not a bug, and so isn't going to be "fixed".

  • In simple terms, the default ptrace_scope value of 1 blocks one process from examining and modifying another process unless the second process (child) was started by the first process (parent).

  • This can cause problems with some programs under Wine because of the way wineserver provides "Windows Services" to these programs.

What are the risks in setting ptrace_scope to 0?

  • This restores the old behavior where one process can "trace" another process, even if there is no parent-child relationship.

  • In theory, a piece of malware can use this to harm you/your computer; e.g. it can attach to Firefox and log all of your URLs/passwords, etc. In practice this is extremely unlikely unless you blindly install binary debs from random sites, etc.

  • As far as debugging goes, the 0 settings is in fact required for gdb, strace, etc. to attach to non-children unless you run them with elevated privileges (sudo).

What are the problems with the workaround?

  • The workaround is somewhat problematic because ptrace_scope is a global value, and while it's set to 0, all processes on your system are exempt from the non-child restriction.
  • If you use the workaround, put it in a simple bash script that enables it, runs your Windows program and then disables (sets to 1) on exit.
    • DO NOT make ptrace_scope world-writable (666) as the forum post recommends -- that is a huge security risk because now any process can change it at will!

Is there a better solution?

  • A better solution which is more secure and does not require repetitively modifying ptrace_scope is to grant Wineserver ptrace capabilities.

    • In a terminal:

      sudo apt-get install libcap2-bin 
sudo setcap cap_sys_ptrace=eip /usr/bin/wineserver
sudo setcap cap_sys_ptrace=eip /usr/bin/wine-preloader

    • This exempts the wineserver and wine-preloader binaries from the non-child ptrace restriction, and allows them to ptrace any process.

    • It only needs to be done once, and is safer because these binaries are usually from a trusted source - the official repositories or the official Wine PPA, so they aren't going to be malware.

If you're using Crossover

Install libcap2:

sudo apt-get install libcap2-bin;

Then, add an exception for Crossover:

sudo setcap cap_sys_ptrace=eip /opt/cxoffice/bin/wineserver;
sudo setcap cap_sys_ptrace=eip /opt/cxoffice/bin/wine-preloader;

Finally, add its libraries to ld.so.conf (or you will get "error while loading shared libraries: libwine.so.1: cannot open shared object file: No such file or directory"):

echo /opt/cxoffice/lib/ | sudo tee /etc/ld.so.conf.d/crossover.conf
sudo /sbin/ldconfig

转载于:https://www.cnblogs.com/cane/p/3909420.html

weixin_30267691
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决/proc/sys/kernel/yama/ptrace_scope to 0的问题
kan2016的博客
06-11 1万+
碰到的问题: cnnnot start data collection because the scope of ptrace system call application is limited. To enable profiling,please set /proc/sys/kernel/yama/ptrace_scope to 0. See the Release Notes for ...
修改ptrace_scope
10-28 2424
需要将kernel.yama.ptrace_scope=1 改为kernel.yama.ptrace_scope=0 文件位于/etc/sysctl.d/目录下 修改后需要用sysctl -p /etc/sysctl.d/10-ptrace.conf执行生效 用saltstack编写脚本 ptrace.sls /etc/sysctl.d/10-ptrace.conf: ...
操作系统优化
zqz_zqz的博客
03-30 1063
查看操作系统发行版本:cat /etc/centos-release 查看操作系统版本信息:cat /proc/version 系统所有进程可以打开的文件数量file-max 查看: cat /proc/sys/fs/file-nr 设置: 1. echo 6553560 > /proc/sys/fs/file-max 2. /etc/sysctl.conf, 加入fs.f...
程序卡住了?教你如何调试已在运行的程序
涛哥聊Python
02-26 3602
点击上方“涛哥聊Python”,选择“星标”公众号重磅干货,第一时间送达来源: https://mozillazg.com/2017/07/debug-running-python-pr...
Linux 查看进程堆栈信息异常解决方法
weixin_43311453的博客
04-14 1092
/proc/sys/kernel/yama/ptrace_scope
Linux log打印级别 echo 0 > /proc/sys/kernel/printk
我思故我在!
09-08 3161
/proc/sys/kernel/printk The four values in this file are console_loglevel, default_mes- sage_loglevel, minimum_console_level and default_con- sole_loglevel. These values influence printk() behavior when ...
面霸宝典Notes(二)
gaozzsoft的专栏
11-02 201
java6大设计原则: 一 : 类单一职责原则:         一个类只有一个引起这个类变化的原因。即一个类只完成一个功能,如果做不到一个类只完成一个功能,最少要保证一个方法只完成一个功能。 二:依赖倒置原则:        高层组件应该依赖抽象而不依赖具体,即面向接口编程,一般依赖的成员变量或者参数都应该是抽象的不应该是具体的。 三:里氏代换原则:      凡是父类出现的地方...
ptrace_32.rar_Linux/Unix编程_Unix_Linux_
08-11
2. **PTRACE_PEEKDATA/PTRACE_POKEDATA**:这些命令分别用于读取和修改被追踪进程的内存。由于是32位进程,内存访问需要考虑地址对齐和数据宽度的问题。 3. **PTRACE_SYSCALL**:这个命令用来拦截和控制被追踪进程...
Linux ‘PTRACE_TRACEME’提权漏洞(CVE-2019-13272)分析 .pdf
09-05
Linux中的`PTRACE_TRACEME`是一个系统调用,允许一个进程(tracer)调试另一个进程(tracee)。在分析的`CVE-2019-13272`漏洞中,`PTRACE_TRACEME`被滥用,导致了一个权限提升的问题。此漏洞主要与Linux内核中的...
ptrace注入实例
01-01
ptrace的工作模式包括PTRACE_PEEKTEXT/PTRACE_PEEKDATA(读取内存)、PTRACE_POKETEXT/PTRACE_POKEDATA(写入内存)、PTRACE_CONT(继续执行)、PTRACE_SINGLESTEP(单步执行)等。 2. **注入过程**:ptrace注入的...
skas_ptrace.rar_matlab例程_Unix_Linux_
08-11
标题中的"skas_ptrace.rar_matlab例程_Unix_Linux_"揭示了这个压缩包包含的是与Linux操作系统和MATLAB编程相关的示例代码。其中,"skas_ptrace"可能是指"System V Kernel Address Space"(System V内核地址空间)和...
letmedebug:禁用ptrace的PT_DENY_ATTACH-修补ptrace系统调用
05-18
当一个进程在其启动时或运行过程中设置这个标志,任何试图使用ptrace进行附加的尝试都将失败。这为关键进程提供了一层额外的安全防护,避免了未经授权的调试活动。 在描述中提到的“甲虫”可能是指项目或者问题的一...
那些年走过的坑-ubuntu上安装mysql
zhou_hao_yan的博客
08-03 247
本文虽然不是我的原创但是可以记录下来一起学习 首先是安装 apt-get update apt-get install mysql-server mysql-client; 安装时会让你设置root密码,输入2次。 本地连接mysql测试: mysql -uroot -p****(****是安装时你设置的root密码) 远程连接: mysql默认是只允许本地主机访问127.0.0....
程序调试利器——GDB使用指南
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
03-08 1731
GDB是探查查询运行中各种疑难问题的利器。在实际应用中,问题产生的原因通常要复杂得多。程序可能在标准库中产生了Crash,整个堆栈可能都是标准库代码;程序可能由于我们的代码的操作,最终在三方中间件中产生了问题;整个异常堆栈可能都不包含我们自己开发的代码;面对被三方库不知以何种方式使用的变量。我们除了需要熟悉GDB的使用之外,在这些复杂的实际问题上,我们还需要尽可能多地了解我们使用的其它库的机制和原理。下方这份完整的软件测试视频学习教程已经整理上传完成,朋友们如果需要可以自行免费领取【保证100%免费】
fsync failed -- /proc/sys/kernel/yama/ptrace_scope
qq_38963393的博客
02-10 1298
1.files in /proc are not actual files, they're an interface to lower-levels of the operating system. 2.the usual way of updating things in proc is directly with a shell command。 echo 0 > /proc/sys/kernel/yama/ptrace_scope 3.If you want this setting t
qtcreator 提示ptrace 不允许的操作 解决办法
12-10 1579
在国外网站上找到的解决方法: 临时性的解决方法: sudo echo 0 > /proc/sys/kernel/yama/ptrace_scope  这样不过重启电脑之后就又恢复成原来的样子了,一劳永逸的方法: sudo vi /etc/sysctl.d/10-ptrace.conf  kernel.yama.ptrace_scope = 0 重启电脑就好了,据说在Ubun
QtCreator: ptrace operation not permitted错误解决方法
蓝天白云的博客
01-15 1032
QtCreator是一个非常好的IDE,可以用来开发Qt应用程序和一般的C++应用程序。但是在Ubuntu上调试应用程序,有时候会出现错误(如内存访问错误),QtCreator会弹出错误对话框,显示QtCreator: ptrace operation not permitted,如下图所示。 解决方法 这个错误特别出现在Ubuntu 11.04之后的版本中,为了解决这个问题,有两种方
JMap常用用法
热门推荐
08-21 1万+
一、介绍 打印出某个java进程(使用pid)内存内的,所有‘对象’的情况(如:产生那些对象,及其数量)。它的用途是为了展示java进程的内存映射信息,或者堆内存详情。  可以输出所有内存中对象的工具,甚至可以将VM 中的heap,以二进制输出成文本。   jmap -heap:format=b pid   bin格式  javaversion 1.5 jmap -dump:format...
PTRACE_PEEKUSER
最新发布
05-31
`PTRACE_PEEKUSER` 是一个 `ptrace` 系统调用,用于读取目标进程中的用户空间寄存器值。它的调用方式如下: ```c long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data); ``` 其中,`request` 参数需要设置为 `PTRACE_PEEKUSER`,`pid` 参数为目标进程的进程 ID,`addr` 参数表示要读取的寄存器相对于用户空间的偏移地址,`data` 参数是输出参数,表示读取到的寄存器值。 在 x86_64 架构下,可以使用 `PTRACE_PEEKUSER` 读取的寄存器包括: - `R15`、`R14`、`R13`、`R12`、`RBP`、`RBX`、`R11`、`R10`、`R9`、`R8`、`RAX`、`RCX`、`RDX`、`RSI`、`RDI`、`ORIG_RAX`、`RIP`、`CS`、`EFLAGS`、`RSP`、`SS`、`FS_BASE`、`GS_BASE`、`DS`、`ES`、`FS`、`GS`。 下面是一个使用 `PTRACE_PEEKUSER` 读取 `RIP` 寄存器值的示例代码: ```c #include <sys/ptrace.h> #include <sys/user.h> int main() { pid_t pid = 1234; // 目标进程的PID struct user_regs_struct regs; // 使用ptrace附加到目标进程 if (ptrace(PTRACE_ATTACH, pid, NULL, NULL) < 0) { perror("ptrace attach"); return -1; } // 等待目标进程停止 wait(NULL); // 获取目标进程的RIP寄存器值 long rip = ptrace(PTRACE_PEEKUSER, pid, 8 * RIP, NULL); if (rip < 0) { perror("ptrace peekuser"); return -1; } // 打印RIP寄存器的值 printf("RIP = %lx\n", rip); // 使用ptrace从目标进程中分离 if (ptrace(PTRACE_DETACH, pid, NULL, NULL) < 0) { perror("ptrace detach"); return -1; } return 0; } ``` 需要注意的是,`addr` 参数表示的是相对于用户空间的偏移地址,而不是绝对地址,因此需要将寄存器的名称转换为偏移量,如 `RIP` 对应的偏移量是 `8 * RIP`。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值