[Linux]seccomp沙盒机制

程序员文章站 2022-04-18 10:59:12

...

Seccomp机制简介

seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如劫持程序流后通过execve的syscall来getshell.通过seccomp我们可以在程序中禁用掉某些syscall,这样就算劫持了程序流也只能调用部分的syscall了.

2、使用seccomp

#include <stdio.h>
#include <unisted.h>
#include <seccomp.h>

int main(void){

         scmp_filter_ctx ctx;

         ctx = seccomp_init(SCMP_ACT_ALLOW);

         seccomp_rule_add(ctx, SCMP_ACT_KILL, SCMP_SYS(execve), 0);

         seccomp_load(ctx);

         char * filename = "/bin/sh";

         char * argv[] = {"/bin/sh",NULL};

         char * envp[] = {NULL};

         write(1,"i will give you a shell\n",24);

         syscall(59,filename,argv,envp);//execve

         return 0;
}

今天做题遇到的沙盒机制

通过prctl(PR_SET_SECCOMP, 2, …)设置沙盒，禁用一些syscall，
[Linux]seccomp沙盒机制
PR_SET_NO_NEW_PRIVS=38

使用工具

seccomp（github上）可以识别沙盒的规则，还可以自己写规则
[Linux]seccomp沙盒机制

上一篇： Google：为登录用户默认加密Web搜索结果

下一篇：【转】商品详情页系统的Servlet3异步化实践

[Linux]seccomp沙盒机制

Seccomp机制简介

2、使用seccomp

今天做题遇到的沙盒机制

使用工具

MIUI12.5隐私保护四大升级：首家全面启用沙盒机制

举例详解iOS开发过程中的沙盒机制与文件

Linux seccomp机制

[Linux]seccomp沙盒机制

iOS 沙盒的机制及文件管理

利用chroot构建linux沙盒

举例详解iOS开发过程中的沙盒机制与文件

MIUI12.5隐私保护四大升级：首家全面启用沙盒机制

基于eBPF的Linux沙盒文件系统SandFS

简单说说容器/沙盒(Sandbox)以及Linux seccomp

[Linux]seccomp沙盒机制

Seccomp机制简介

2、 使用seccomp

今天做题遇到的沙盒机制

使用工具

MIUI12.5隐私保护四大升级：首家全面启用沙盒机制

举例详解iOS开发过程中的沙盒机制与文件

Linux seccomp机制

[Linux]seccomp沙盒机制

iOS 沙盒的机制及文件管理

利用chroot构建linux沙盒

举例详解iOS开发过程中的沙盒机制与文件

MIUI12.5隐私保护四大升级：首家全面启用沙盒机制

基于eBPF的Linux沙盒文件系统SandFS

简单说说容器/沙盒(Sandbox)以及Linux seccomp

2、使用seccomp