seccomp

4熱度

1回答

我已經通過python-prctl在項目中啓用了seccomp。我不能完全弄清楚如何徹底退出 - 結果總是會導致死亡。我看到一些使用ctypes或ffi嘗試引用libc的例子，但是如果我期望它們使用WIFEXITED，它們似乎也有相同的問題。下面的示例代碼。結果總是「我們被殺死」。 def main(): pid = os.fork() if not pid: p

17熱度

2回答

seccomp ---如何EXIT_SUCCESS？

在嚴格模式seccomp設置後，如何進入EXIT_SUCCESS。是否正確的做法，在主要結束時致電syscall(SYS_exit, EXIT_SUCCESS);？ #include <stdlib.h> #include <unistd.h> #include <sys/prctl.h> #include <linux/seccomp.h> #include <sys/syscall.

5熱度

3回答

SECCOMP：如何模擬malloc，realloc和free？

我想在我的服務器上執行任意（潛在危險）的二進制文件。因此，我使用objcopy將「main」符號重命名爲「other_main」，以便我可以鏈接到我自己的小主函數中，該函數在調用other_main之前爲RLIMIT_CPU設置適當的值並切換SECCOMP標誌。到目前爲止，我對這個解決方案非常滿意。現在的問題是，第三方程序代碼可能包含一些對malloc的調用，可能會立即終止程序（sbrk不允許）

0熱度

2回答

抑制「Bad system call」消息

如here所述，使用seccomp過濾器，我們可以在運行example.c文件時阻止特定的系統調用。過程將終止，將印有「壞的系統調用」消息： $ ./example Bad system call 我想消息打壓。即使這並沒有幫助：

0熱度

1回答

爲什麼seccomp禁止我正常的系統調用

這是pwnable.kr中的最新問題，asm.c使用seccomp來限制我的系統調用，除了write（），open（），read（）和exit（）。 asm.c： #include <stdio.h> #include <string.h> #include <stdlib.h> #include <sys/mman.h> #include <seccomp.h> #include <s

2熱度

2回答

是否有Windows的seccomp模擬器

有沒有類似seccomp的Windows？它應該限制所有系統調用一些非常有限的設置，如只讀和寫入已經打開的文件。描述爲sandbox for Chromium的看起來不像Seccomp，因爲它基於通常的文件權限和Windows安全對象，而不是限制對系統調用的訪問。

1熱度

1回答

如何將seccomp規則添加到secific進程？

我正在設計一個判斷系統，它啓動一個新進程，然後限制新進程的CPU時間和內存使用情況。爲了確保安全，一些系統調用不能用於新進程，例如fork，clone等等。我試圖使用libseccomp來限制系統調用，但是，我不知道如何爲特定的進程設置規則。如果我在判斷過程中設置了規則，那麼在加載規則之後，判斷過程也被限制爲調用這些系統調用，然後我不能分叉並執行新過程。

2熱度

2回答

如何seccomp一個子進程？

我想用execvp來創建一個子進程和seccomp它（只給它讀寫權限，沒有open）。爲了達到這個目的，我必須在execvp（它也稱爲open）之前調用seccomp函數，因此我應該給自己execvp和open權限。但是這也意味着我給子進程打開了execvp這樣的權限。有沒有辦法阻止子進程調用open（例如，在我調用seccomp之前將其加載到內存中）？ #include <iostream>

0熱度

1回答

Docker seccomp不能在Kali上工作

我在調查使用Docker的內核安全性。我正在測試seccomp，它在Debian和Ubuntu上運行良好，但它不適用於Kali Linux。例子：我創造與此內容稱爲sec.json一個簡單的JSON文件： { "defaultAction": "SCMP_ACT_ALLOW", "syscalls": [ { "name": "mkdir

0熱度

1回答

沙盒可以緩解緩衝區溢出的影響。

我不得不做一些關於沙箱過程的研究。但我無法理解沙盒如何緩解緩衝區溢出。比方說，我有我的服務器應用程序（一個FTP服務器），這是由緩衝區溢出，可以遠程利用影響。沙盒如何作爲Vx32，Janus ostia可以阻止注入代碼訪問文件系統？