Linuxのptraceは安全でないか競合状態になることはありますか？

Question

私は起動し、すべての子プロセスが作成するプロセス（孫を含む）をptrace()で実装したいと考えています。 ptrace()親プロセス、すなわち監督者。単純なCまたはPythonプログラムであり、概念的にはパス名とアクセス方向（読み取りまたは書き込み）とソケットアクセス（ソケット作成を禁止するなど）に基づいてファイルシステムのアクセスを制限することになります。 ptrace()のプロセスとその子プロセス（と再帰的に）がサンドボックスをバイパスできないようにするには？fork()競合状態を避けるためにスーパーバイザが特別に行うべきことはありますか？例：rename()競合状態のない子プロセスからの返信はありませんか？

• PTRACE_O_TRACEFORK | PTRACE_O_TRACEVFORK | PTRACE_O_TRACECLONE
• をINGのfork()は、すべてのシステムはデフォルトで呼び出して、許可されるシステムのホワイトリストを構成する
• は（例えばopenatなど）*at()システムコールの変種が適切であることを確認して呼び出す禁止する場合（一部の）レースcoditionsを避けるために保護された

他に何か注意を払う必要がありますか？

Answer 1

大きな問題は、ファイル名のような多くのsyscall引数がユーザ空間ポインタとしてカーネルに渡されることです。同時に実行することが許可され、ポインタが指すメモリへの書き込みアクセス権を持つタスクは、スーパバイザによって検査された後、カーネルがそれらに作用する前に、これらの引数を効果的に変更できます。カーネルがポインタをたどるまでに、指し示された内容は、そのメモリにアクセスする別のスケジュール可能なタスク（プロセスまたはスレッド）によって意図的に変更された可能性があります。たとえば：

Thread 1       Supervisor    Thread 2 
----------------------------------------------------------------------------------------------------- 
strcpy(filename, "/dev/null"); 
open(filename, O_RDONLY); 
            Check filename - OK 
                  strcpy(filename, "/home/user/.ssh/id_rsa"); 
(in kernel) opens "/home/user/.ssh/id_rsa" 

一つの方法これはCLONE_VMフラグでclone()を呼び出す許可しないで停止し、それに加えて、書き込み可能なMAP_SHAREDメモリマッピングのいずれかの作成を防ぐ（または少なくともあなたが任意のシステムコールを拒否するように、それらを追跡しますそのようなマッピングからのデータを直接参照しようとします）。また、syscallの処理を許可する前に、そのような引数を共有していないバウンスバッファにコピーすることもできます。これにより、スレッド化されたアプリケーションがサンドボックス内で実行されることを効果的に防止します。

潜在的に危険なすべてのシステムコールのトレースされたグループ内の他のすべてのプロセスが、実際に停止するのを待ってから、システムコールを続行することができます。返された後、SIGCONT（まだ停止していない場合）。言うまでもありませんが、パフォーマンスに大きな影響を与える可能性があります。

（スタックに渡されるsyscall引数にも、共有されているオープンファイルテーブルにも同様の問題があります）。

Answer 2

ptraceは通知後にのみ通知を受け取りますか？私はあなたが実際に起こっていることからシステムコールを止める機会を持っているとは思っていません。

SELinuxやAppArmorのようなものを探しているようですが、違法な呼び出しが1つも届かないことを保証できます。