Linuxにアプリケーションアクセスをシステム時間に制限する方法はありますか?
可能な限り環境でアプリケーションの起動を抽象化したいと思います。権限でデバイス/ファイルシステムへのアクセスを制限できる場合は、システムクロックへのアクセスを制限する方法は不明です。これは標準的なシステムデバイスではないからです。
答え1
システム時間へのアクセスを拒否するには、最近システムコールフィルタをほとんど作成する必要があります。seccompフィルタ。バラよりKees Cookの簡単なチュートリアルまたはより複雑な要件の場合libseccomp。少なくともDeny Access gettimeofday
、、、clock_gettime
およびが必要です。time
詳細は、敵対的なアプリケーションを処理するかどうかによって異なります(アプリケーションが外部アプリケーションを実行できないように、Deny Accessなどを実行することもできます)exec
。system
フィルタは継承されるため、これは重要ではなく、外部、直接、または間接のタイムソース(ネットワークまたはファイルシステムなど)へのアクセスが拒否されます。
アプリケーションに人間の時間を与えたい場合は、以下を確認してください。faketime
そしてlibfaketime。