잠금장치를 사용하려고 systemd-nspawn하는데오직특정 시스템 호출을 화이트리스트에 추가할 수 있도록 허용합니다. 모든문서, 기본적으로 상당히 느슨한 필터를 가지고 있으며, 수백 개의 서로 다른 시스템 호출로 구성된 대규모 화이트리스트로 구성되어 있습니다. SystemCallFilter=특정 통화를 블랙리스트 또는 화이트리스트에 추가할 수 있다고 주장하는 장치 옵션이 있습니다 . 나는 이것을 시도했고 거기에 시스템 호출을 넣고 완전한 실패를 예상했습니다. [Exec] ... # We use wa...
seccomp, prctl syscall 및 bcc를 사용하여 시스템 호출을 차단하는 방법은 무엇입니까? BCC를 통해 이를 달성할 수 있는 다른 방법이 있습니까? C로 순수한 ebpf 코드를 작성하는 것이 가능하다는 것을 알고 있지만 이해하고 사용하기가 너무 어렵습니다. bcc를 사용하고 싶습니다. ...
시스템 장치 파일: [Service] SystemCallFilter=[...] 에러 메시지: unit-name.service: 기본 프로세스가 종료되었습니다. 코드=killed, 상태=31/SYS 화이트리스트에서 누락된 시스템 호출을 찾는 방법은 무엇입니까? ...
뭔가 이상한 걸 발견했어요. 일반 사용자로 명령을 실행하면 file항상 잘못된 시스템 호출 오류가 발생합니다. 예를 들어다루기 힘든: $ file ~/.zshrc [1] 18553 invalid system call file ~/.zshrc 또는세게 때리다/스프린트/쉿: $ file ~/.bashrc Bad system call 이는 객체 파일, wm 환경(tty에서도 발생)에 의존하지 않으며 쉘에 의존하지 않는 것 같습니다. 이 오류를 방지하는 유일한 방법은 명령을 루트로 실행하거나 ...
kernel-headers rpm에 seccomp.h가 포함되어 있지 않은 것 같습니다. centos6에서 seccomp.h 헤더 파일을 어디서 찾을 수 있는지 알고 싶습니다. ...
%22%EB%A5%BC%20%EC%82%AC%EC%9A%A9%ED%95%98%EC%97%AC%200%EC%9D%84%20%EB%B0%98%ED%99%98%ED%95%98%EB%8F%84%EB%A1%9D%20%ED%95%A0%20%EC%88%98%20%EC%9E%88%EC%8A%B5%EB%8B%88%EA%B9%8C%3F.png)
나는 데비안 시스템의 문서를 읽고 있었는데 seccomp(2)다음 단락에서 다음 문장을 우연히 발견했습니다: setuid(2) 예를 들어, 이러한 악성 필터는 실제로 0을 반환하는 시스템 호출을 만드는 대신 호출자의 사용자 ID를 0이 아닌 값으로 설정 하려고 시도할 수 있습니다 . 위의 목적을 달성하기 위해 필터를 어떻게 seccomp남용할 수 있습니까? 악의적인 필터가 이를 허용하지 않는 경우 setuid(2)프로세스는 SIGSYS시그널을 수신하고 종료될 수 있으며 시스템 호출은 실...