Описание тега seccomp
'SecComp' is an abbreviation for Secure Computing Mode, a facility built into modern Linux kernels that can be used to constrain (irreversibly) what a program is allowed to do.
1
ответ
Зачем seccomp забанить мой обычный системный вызов
Это самая новая проблема в pwnable.kr, asm.c использует seccomp для ограничения моего системного вызова, кроме:write(),open(),read() и exit ().asm.c: #include <stdio.h> #include <string.h> #include <stdlib.h> #include <sys/mman.…
29 ноя '16 в 11:30
1
ответ
seccomp-bpf - как я могу использовать bpf для фильтрации аргументов системного вызова?
У меня есть функция f(), которая возвращает 0 или 1 - 0 для false, 1 для true. Я хотел бы установить правило с seccomp-bpf, чтобы системный вызов "fopen" был разрешен только в том случае, если f (первый параметр --fopen--) == 1. Как бы я это сделал?
30 ноя '14 в 21:27
1
ответ
Возвращаемые значения указателя в функциях системных вызовов seccomp
Я пытаюсь реализовать функции ловушек для различных системных вызовов. Цель состоит в том, чтобы брокер выполнил их, а затем вернул результат. Таким образом, клиент не будет выполнять команды сам. Seccomp предлагает возможность достичь этого: Что я …
03 дек '17 в 01:43
0
ответов
Как обойти seccomp в Linux
Даже если процесс использует seccomp и ограничен для выхода, чтения и записи, могу ли я все же навредить? И если я могу, как можно использовать такую систему?
22 фев '19 в 12:03
1
ответ
Может ли песочница смягчить эффект переполнения буфера.
Я должен сделать некоторые исследования о процессе Sand Box. Но я не могу понять, как песочница может смягчить переполнение буфера. Допустим, у меня есть серверное приложение (FTP-сервер), на которое влияет переполнение буфера, которое можно использ…
01 янв '13 в 09:55
1
ответ
Процесс изоляции в ржавчине
Я хочу реализовать сервер для протокола. По соображениям безопасности анализатор должен быть изолирован в своем собственном потоке от остальной части программы, и только двунаправленный канал должен оставаться открытым для связи. Поток анализатора д…
04 сен '16 в 17:50
1
ответ
Как эффективно выполнить ненадежную функцию кросс-платформенным способом?
Я пишу кроссплатформенное приложение с открытым исходным кодом, написанное на C++ и предназначенное для Windows, Mac и Linux на процессорах x86. Приложение создает поток данных (целые числа), которые необходимо проверить, и мое приложение будет выпо…
23 авг '18 в 16:28
1
ответ
Как seccomp-bpf фильтрует системные вызовы?
Я исследую детали реализации seccomp-bpf, механизма фильтрации syscall, который появился в Linux начиная с версии 3.5. Я заглянул в исходный код kernel/seccomp.c из Linux 3.10 и хочу задать несколько вопросов по этому поводу. Из seccomp.c кажется, ч…
07 ноя '13 в 04:41
0
ответов
Песочница для онлайн-судей
Я разработал приложение для Linux, которое запускает недоверенный код, полученный от пользователей (участников). В частности, приложение представляет собой онлайн-судью, которое похоже на UVa OJ, SPOJ и Codeforces, но в основном похоже на BOCA Onlin…
24 мар '16 в 01:12
1
ответ
Непоследовательное поведение seccomp
Я работаю над созданием различных приложений, использующих seccomp для Linux, и попал в несоответствие, которое не могу объяснить. Я попытался дать вам примеры, достаточно ясные, чтобы воспроизвести проблему. Я создаю "модуль защиты", который запрещ…
19 мар '18 в 11:59
1
ответ
Почему процесс seccomp всегда убивается?
Почему процесс, который перешел в режим seccomp, всегда убивается при выходе? $ cat simple.c #include <stdio.h> #include <stdlib.h> #include <linux/prctl.h> int main( int argc, char **argv ) { printf("Starting\n"); prctl(PR_SET_SEC…
11 апр '12 в 22:00
1
ответ
Ограничить системные вызовы внутри контейнера Docker
Как я могу ограничить любой системный вызов внутри контейнера Docker. Если данный процесс совершит системный вызов, он будет заблокирован. Или как я могу использовать seccomp с докером.
19 янв '16 в 07:27
1
ответ
seccomp, как обрабатывать события ptrace
Я использую seccomp фильтры для ограничения системных вызовов, выполняемых процессом. Вполне понятно, что использование белого списка системных вызовов для разрешения и запрета системных вызовов. Я застрял на концепции ptrace события, созданные secc…
03 фев '16 в 16:12
1
ответ
Установите для secomp значение undefined в docker-compose
Мне нужно уметь форк процесс. Как я понимаю, мне нужно установить опцию безопасности. Я попытался сделать это с помощью команды Docker, и она работает нормально. Однако, когда я делаю это в файле docker-compose, он, кажется, ничего не делает, возмож…
05 сен '17 в 11:18
1
ответ
Восстановление докера завершается неудачно - при проверке с активными TCP-соединениями - criu
Я использую восстановление контрольной точки cr-defunct (основываясь на отзывах Росса Баучера), чтобы собрать 1.10.0-dev из исходного кода для получения функциональности контрольной точки / восстановления. Когда я проверяю контейнер без активных сое…
13 июн '16 в 20:09
0
ответов
Пип не позволяет мне установить seccomplite
Я попытался установить seccomplite пакет с pip. вместо этого я получил эти ошибки. Пожалуйста помоги. Сбор seccomplite с использованием кэшированного seccomplite-0.1.0a3.tar.gz Установка собранных пакетов: seccomplite Запуск setup.py install для sec…
21 дек '16 в 19:29
1
ответ
Передача --security-opt seccomp:filename.json в контейнер в Docker Swarm
Мне нужно передать пользовательский файл профиля seccomp в контейнер, работающий на рое Docker. Это легко сделать, и он отлично работает с автономным контейнером, используя опцию --security-opt. Проблема возникает, когда вы пытаетесь передать его ко…
07 авг '18 в 10:58
1
ответ
seccomp: from parent, найдите, какой системный вызов привел к смерти ребенка на SIGSYS
Я подробно опишу свой вопрос и простите, пожалуйста, моего недисциплинированного и грубого. Я провел несколько экспериментов с seccomp-BPF и передачей сигналов. Сначала я следовал этому уроку. После добавления обработки сигнала SIGSYS ( syscall-repo…
01 ноя '18 в 15:32
0
ответов
Ошибка Seccomp Docker после обновления с Debian 8 до Debian 9
Следующая ошибка возникает во время docker run а также docker build после обновления с Debian 8 до Debian 9: ERROR: Service 'etherpad' failed to build: OCI runtime create failed: container_linux.go:344: starting container process caused "error loadi…
27 фев '19 в 11:54
1
ответ
Как добавить правила seccomp в отдельный процесс?
Я разрабатываю систему судейства, которая запускает новый процесс, а затем ограничивает время процессора и использование памяти новым процессом. Для обеспечения безопасности некоторые системные вызовы не могут быть разрешены с новым процессом, напри…
04 ноя '15 в 14:13