seccomp, как обрабатывать события ptrace

Question

seccomp, как обрабатывать события ptrace

Я использую seccomp фильтры для ограничения системных вызовов, выполняемых процессом. Вполне понятно, что использование белого списка системных вызовов для разрешения и запрета системных вызовов. Я застрял на концепции ptrace события, созданные seccomp правила. Например я могу запретить open но я хочу генерировать ptrace событие на open системный вызов, чтобы я мог определить, может ли процесс открыть этот файл или нет. Мой конкретный вопрос: как отловить событие ptrace, генерируемое seccomp? Любая помощь или ссылка будет большим благословением.

Я погуглила в своем скромном качестве, но не нашла никакой помощи и не показала пример.

2

c linux sandbox ptrace seccomp

Источник

user4843379 03 фев '16 в 16:12

1 ответ

Другие вопросы по тегам c linux sandbox ptrace seccomp

user3403834 03 фев '16 в 19:53 2016-02-03 19:53 · Answer 1 · 2016-02-03 19:53

Вам нужно иметь отдельную программу, которая отслеживает низшие. Этот трассировщик должен позвонить

    ptrace(PTRACE_SETOPTIONS, tracee_pid, 0, PTRACE_O_TRACESECCOMP);

запрашивать уведомления и звонить

    waitpid(tracee_pid, &status, __WALL);

быть уведомленным. когда waitpid возвращается, анализировать statusи получить уведомление через

    unsigned long data;
    ptrace(PTRACE_GETEVENTMSG, tracee_pid, 0, &data);