seccomp

17热度

2回答

在严格模式seccomp设置后，如何进入EXIT_SUCCESS。是否正确的做法，在主要结束时致电syscall(SYS_exit, EXIT_SUCCESS);？ #include <stdlib.h> #include <unistd.h> #include <sys/prctl.h> #include <linux/seccomp.h> #include <sys/syscall.

5热度

3回答

SECCOMP：如何模拟malloc，realloc和free？

我想在我的服务器上执行任意（潜在危险）的二进制文件。因此，我使用objcopy将“main”符号重命名为“other_main”，以便我可以链接到我自己的小主函数中，该函数在调用other_main之前为RLIMIT_CPU设置适当的值并切换SECCOMP标志。到目前为止，我对这个解决方案非常满意。现在的问题是，第三方程序代码可能包含一些对malloc的调用，可能会立即终止程序（sbrk不允许）

0热度

2回答

抑制“Bad system call”消息

如here所述，使用seccomp过滤器，我们可以在运行example.c文件时阻止特定的系统调用。过程将终止，将印有“坏的系统调用”消息： $ ./example Bad system call 我想消息打压。即使这并没有帮助：

0热度

1回答

为什么seccomp禁止我正常的系统调用

这是pwnable.kr中的最新问题，asm.c使用seccomp来限制我的系统调用，除了write（），open（），read（）和exit（）。 asm.c： #include <stdio.h> #include <string.h> #include <stdlib.h> #include <sys/mman.h> #include <seccomp.h> #include <s

2热度

2回答

是否有Windows的seccomp模拟器

有没有类似seccomp的Windows？它应该限制所有系统调用一些非常有限的设置，如只读和写入已经打开的文件。描述为sandbox for Chromium的看起来不像Seccomp，因为它基于通常的文件权限和Windows安全对象，而不是限制对系统调用的访问。

1热度

1回答

如何将seccomp规则添加到secific进程？

我正在设计一个判断系统，它启动一个新进程，然后限制新进程的CPU时间和内存使用情况。为了确保安全，一些系统调用不能用于新进程，例如fork，clone等等。我试图使用libseccomp来限制系统调用，但是，我不知道如何为特定的进程设置规则。如果我在判断过程中设置了规则，那么在加载规则之后，判断过程也被限制为调用这些系统调用，然后我不能分叉并执行新过程。

2热度

2回答

如何seccomp一个子进程？

我想用execvp来创建一个子进程和seccomp它（只给它读写权限，没有open）。为了达到这个目的，我必须在execvp（它也称为open）之前调用seccomp函数，因此我应该给自己execvp和open权限。但是这也意味着我给子进程打开了execvp这样的权限。有没有办法阻止子进程调用open（例如，在我调用seccomp之前将其加载到内存中）？ #include <iostream>

0热度

1回答

Docker seccomp不能在Kali上工作

我在调查使用Docker的内核安全性。我正在测试seccomp，它在Debian和Ubuntu上运行良好，但它不适用于Kali Linux。例子：我创造与此内容称为sec.json一个简单的JSON文件： { "defaultAction": "SCMP_ACT_ALLOW", "syscalls": [ { "name": "mkdir

0热度

1回答

沙盒可以缓解缓冲区溢出的影响。

我不得不做一些关于沙箱过程的研究。但我无法理解沙盒如何缓解缓冲区溢出。比方说，我有我的服务器应用程序（一个FTP服务器），这是由缓冲区溢出，可以远程利用影响。沙盒如何作为Vx32，Janus ostia可以阻止注入代码访问文件系统？

4热度

1回答

如何在Python中启用seccomp后彻底退出？

我已经通过python-prctl在项目中启用了seccomp。我不能完全弄清楚如何彻底退出 - 结果总是会导致死亡。我看到一些使用ctypes或ffi尝试引用libc的例子，但是如果我期望它们使用WIFEXITED，它们似乎也有相同的问题。下面的示例代码。结果总是“我们被杀死”。 def main(): pid = os.fork() if not pid: p