ロック装置を使用しようとしていsystemd-nspawnます。ただ特定のシステムコールをホワイトリストに追加できるようにします。すべて文書、基本的にはかなり緩いフィルタがあり、数百の異なるシステムコールで構成される大規模なホワイトリストで構成されています。SystemCallFilter=特定の通貨をブラックリストまたはホワイトリストに追加できると主張するデバイスオプションがあります。私はこれを試して、そこにシステムコールを入れて、完全な失敗を期待しました。 [Exec] ... # We use way more syscalls than this! ...
seccomp、prctl syscall、bccを使用してシステムコールをブロックする方法は? BCCを通じてこれを達成する他の方法はありますか? 私はCで純粋なebpfコードを書くことが可能であることを知っていますが、理解して使用するのは難しいです。 bccを使いたいです。 ...
システムデバイスファイル: [Service] SystemCallFilter=[...] エラーメッセージ: unit-name.service: 基本プロセスが終了しました。コード=killed、ステータス=31/SYS ホワイトリストで見つからないシステムコールを見つけるには? ...
何か変なことを見つけました。通常のユーザーとしてコマンドを実行すると、file常に誤ったシステムコールエラーが発生します。 例えば扱いにくい: $ file ~/.zshrc [1] 18553 invalid system call file ~/.zshrc または強く打つ/スプリント/シェン: $ file ~/.bashrc Bad system call これはオブジェクトファイル、wm環境(ttyでも発生)に依存せず、シェルに依存しないようです。 このエラーを防ぐ唯一の方法は、コマンドをrootとして実行するか、次のコマンドを使用...
kernel-headers rpmにseccomp.hが含まれていないようです。 centos6でseccomp.hヘッダファイルをどこで見つけることができるかを知りたいです。 ...
私はDebianシステムのドキュメントを読んでいましたが、次のseccomp(2)段落で次の文を偶然見つけました: setuid(2) たとえば、これらの悪意のあるフィルタは、実際にゼロを返すシステムコールを作成するのではなく、発信者のユーザーIDをゼロ以外の値に設定しようとする可能性があります。 上記の目的を達成するためにフィルタをseccomp乱用する方法は? 悪意のあるフィルタがこれを許可しない場合、setuid(2)プロセスはSIGSYSシグナルを受信して終了する可能性があり、システムコールは実行されません。 悪意のあるフィルタ...