seccomp

5熱

3答えて

私は自分のサーバー上で任意の（潜在的に危険な）バイナリを実行したいと思います。したがって、RLIMIT_CPUの適切な値を設定し、other_mainを呼び出す前にSECCOMPフラグをトグルする独自の小さなメイン関数でリンクできるように、 "main"シンボルの名前を "other_main"に変更するのにobjcopyを使用しました。これまでのところ、私はこのソリューションに満足しています。

1熱

1答えて

opensshのseccompフィルタでルールを変更する方法

OpenSSL 1.0.1fでOpenSSH_6.6p1をインストールしました。それは正常に動作しています。 OpenSSH_6.6p1にはsandbox-seccomp-filterがあります。 OpenSSHが特定のシステムコールをフィルタできるように、フィルタのルールを変更してからフィルタを再実装する方法を教えてください。

2熱

1答えて

なぜseccompプロセスは常に終了しますか？

なぜseccompモードになったプロセスが終了時に常に終了するのですか？ PR_SET_SECCOMP下のmanページから $ cat simple.c #include <stdio.h> #include <stdlib.h> #include <linux/prctl.h> int main(int argc, char **argv) { printf("Starti

0熱

1答えて

なぜseccompが私の通常のシステムコールを禁止するのですか

これはpwnable.krの最新の問題です。asm.cは、write（）、open（）、read（）、exit（）以外のシステムコールを制限するためにseccompを使います。 asm.c： #include <stdio.h> #include <string.h> #include <stdlib.h> #include <sys/mman.h> #include <seccomp.h

2熱

1答えて

ドッカーコンテナからDGRAMソケットを開くことができません（許可が拒否されました）

ICMP ECHOリクエストをビルドしていくつかの異なるIPアドレスに送信するアプリケーションを実行しています。アプリケーションはCrystalで書かれています。クリスタルドッカーコンテナ内からソケットを開くとき、Crystalは例外を発生させます：アクセスが拒否されました。コンテナ内からは、ping 8.8.8.8を実行しても問題ありません。 MacOSでアプリケーションを実行しても問題はあり

2熱

2答えて

サブプロセスをseccompする方法は？

execvpを使用してサブプロセスを作成し、それをseccompしたい（openなしで、読み取りと書き込みの権限のみを与えたい）。これを達成するには、の前にexecvp（これもまたopenを呼び出します）を呼び出す必要があります。したがって、自分にexecvpとopenの許可を与える必要があります。しかし、これはまた、execvpによって開かれた子プロセスにそのようなパーミッションを与えることを

0熱

1答えて

Docker seccompがKaliで動作しない

Dockerを使用してカーネルのセキュリティを調べています。私はseccompをテストしています。DebianとUbuntuではうまく動作しますが、Kali Linuxではうまく動作しません。例：私は、単純なJSONファイルを作成したが、この内容でsec.jsonと呼ば： { "defaultAction": "SCMP_ACT_ALLOW", "syscalls": [

2熱

1答えて

錆のプロセス分離

私はプロトコルのためのサーバーを実装したい。セキュリティ上の理由から、パーサーはプログラムの残りの部分から独自のスレッドで分離され、双方向チャネルのみが通信のために開かれている必要があります。パーサースレッドは、他のスレッドのメモリを変更し、syscallsを実行する権限を失う可能性があります（seccompを使用）。 Rustのパーサースレッドでこの動作を実現する簡単な方法はありますか？