设置严格模式seccomp后,EXIT_SUCCESS是怎样的。这是正确的做法,在主要结束时拨打syscall(SYS_exit, EXIT_SUCCESS);
吗?
#include <stdlib.h>
#include <unistd.h>
#include <sys/prctl.h>
#include <linux/seccomp.h>
#include <sys/syscall.h>
int main(int argc, char **argv) {
prctl(PR_SET_SECCOMP, SECCOMP_MODE_STRICT);
//return EXIT_SUCCESS; // does not work
//_exit(EXIT_SUCCESS); // does not work
// syscall(__NR_exit, EXIT_SUCCESS); // (EDIT) This works! Is this the ultimate answer and the right way to exit success from seccomp-ed programs?
syscall(SYS_exit, EXIT_SUCCESS); // (EDIT) works; SYS_exit equals __NR_exit
}
// gcc seccomp.c -o seccomp && ./seccomp; echo "${?}" # I want 0
答案 0 :(得分:11)
正如eigenstate.org和SECCOMP (2)中所述:
唯一的系统调用允许调用线程 make是read(2),write(2),_ exit(2)( 但不是 exit_group(2)), 和sigreturn(2)。其他系统调用导致交付 一个SIGKILL信号。
因此,人们希望_exit()
可以工作,但它是一个调用exit_group(2)
的包装函数,在严格模式下不允许[1], [2])因此这个过程就会被杀死。
甚至在exit(2) - Linux man page报道:
在glibc到版本2.3中, _exit()包装函数调用了同名的内核系统调用。由于glibc 2.3,包装函数调用exit_group(2),以终止进程中的所有线程。
return
语句也会发生同样的情况,最终会以与_exit()
非常相似的方式终止您的流程。
支持流程将提供进一步的确认(为了让它显示,你必须不设置PR_SET_SECCOMP;只是评论prctl()
)并且我得到了两个非工作的类似输出例:
linux12:/home/users/grad1459>gcc seccomp.c -o seccomp
linux12:/home/users/grad1459>strace ./seccomp
execve("./seccomp", ["./seccomp"], [/* 24 vars */]) = 0
brk(0) = 0x8784000
access("/etc/ld.so.nohwcap", F_OK) = -1 ENOENT (No such file or directory)
mmap2(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb775f000
access("/etc/ld.so.preload", R_OK) = -1 ENOENT (No such file or directory)
open("/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=97472, ...}) = 0
mmap2(NULL, 97472, PROT_READ, MAP_PRIVATE, 3, 0) = 0xb7747000
close(3) = 0
access("/etc/ld.so.nohwcap", F_OK) = -1 ENOENT (No such file or directory)
open("/lib/i386-linux-gnu/libc.so.6", O_RDONLY|O_CLOEXEC) = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\220\226\1\0004\0\0\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0755, st_size=1730024, ...}) = 0
mmap2(NULL, 1739484, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xdd0000
mmap2(0xf73000, 12288, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x1a3) = 0xf73000
mmap2(0xf76000, 10972, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0xf76000
close(3) = 0
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7746000
set_thread_area({entry_number:-1 -> 6, base_addr:0xb7746900, limit:1048575, seg_32bit:1, contents:0, read_exec_only:0, limit_in_pages:1, seg_not_present:0, useable:1}) = 0
mprotect(0xf73000, 8192, PROT_READ) = 0
mprotect(0x8049000, 4096, PROT_READ) = 0
mprotect(0x16e000, 4096, PROT_READ) = 0
munmap(0xb7747000, 97472) = 0
exit_group(0) = ?
linux12:/home/users/grad1459>
如您所见,调用了exit_group()
,解释了所有内容!
现在你正确地说,“SYS_exit equals __NR_exit
”;例如,它在mit.syscall.h中定义:
#define SYS_exit __NR_exit
所以最后两个调用是等价的,即你可以使用你喜欢的那个,输出应该是这样的:
linux12:/home/users/grad1459>gcc seccomp.c -o seccomp && ./seccomp ; echo "${?}"
0
PS
您当然可以自己定义filter
并使用:
prctl(PR_SET_SECCOMP, SECCOMP_MODE_FILTER, filter);
如本地状态链接中所述,允许_exit()
(或严格来说,exit_group(2)
),但只有在您确实需要并知道自己在做什么时才这样做。
答案 1 :(得分:6)
问题出现了,因为GNU C库使用exit_group
系统调用(如果可用),在Linux中而不是exit
,用于_exit()
函数(参见sysdeps/unix/sysv/linux/_exit.c
}} {}} {}} {}} {}} {}} {}} {}}
因为exit_group
函数调用发生在C库中,所以我们不能将它与我们自己的版本一起插入(只会执行_exit()
系统调用)。 (正常的进程清理在其他地方完成;在Linux中,exit
函数只执行终止进程的最终系统调用。)
我们可以要求GNU C库开发人员仅在当前进程中有多个线程时才在Linux中使用_exit()
系统调用,但不幸的是,这并不容易,即使现在添加,在大多数Linux发行版上都可以使用该功能需要相当长的时间。
幸运的是,我们可以抛弃默认的严格过滤器,而是定义我们自己的。行为存在细微差别:杀死流程的明显信号将从exit_group
更改为SIGKILL
。 (信号实际上没有传递,因为内核确实会终止进程;只有导致进程发生变化的明显信号数。)
此外,这甚至不是那么困难。我确实浪费了一些时间来研究一些GCC宏的技巧,这将使管理允许的系统调用变得微不足道。列表,但我认为这不是一个好方法:应该仔细考虑允许的系统调用列表 - 我们只添加SIGSYS
与严格过滤器相比,这里! - 所以让它成为位很难没问题。
下面的代码,比如exit_group()
,已被验证可以在x86-64上运行4.4内核(应该在内核3.5或更高版本上运行)(对于x86和x86-64,即32位< em>和 64位二进制文件)。它应该适用于所有Linux体系结构,并且不需要或使用libseccomp库。
example.c
使用例如
进行编译#define _GNU_SOURCE
#include <stdlib.h>
#include <stddef.h>
#include <sys/prctl.h>
#include <sys/syscall.h>
#include <linux/seccomp.h>
#include <linux/filter.h>
#include <stdio.h>
static const struct sock_filter strict_filter[] = {
BPF_STMT(BPF_LD | BPF_W | BPF_ABS, (offsetof (struct seccomp_data, nr))),
BPF_JUMP(BPF_JMP | BPF_JEQ, SYS_rt_sigreturn, 5, 0),
BPF_JUMP(BPF_JMP | BPF_JEQ, SYS_read, 4, 0),
BPF_JUMP(BPF_JMP | BPF_JEQ, SYS_write, 3, 0),
BPF_JUMP(BPF_JMP | BPF_JEQ, SYS_exit, 2, 0),
BPF_JUMP(BPF_JMP | BPF_JEQ, SYS_exit_group, 1, 0),
BPF_STMT(BPF_RET | BPF_K, SECCOMP_RET_KILL),
BPF_STMT(BPF_RET | BPF_K, SECCOMP_RET_ALLOW)
};
static const struct sock_fprog strict = {
.len = (unsigned short)( sizeof strict_filter / sizeof strict_filter[0] ),
.filter = (struct sock_filter *)strict_filter
};
int main(void)
{
/* To be able to set a custom filter, we need to set the "no new privs" flag.
The Documentation/prctl/no_new_privs.txt file in the Linux kernel
recommends this exact form: */
if (prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0)) {
fprintf(stderr, "Cannot set no_new_privs: %m.\n");
return EXIT_FAILURE;
}
if (prctl(PR_SET_SECCOMP, SECCOMP_MODE_FILTER, &strict)) {
fprintf(stderr, "Cannot install seccomp filter: %m.\n");
return EXIT_FAILURE;
}
/* The seccomp filter is now active.
It differs from SECCOMP_SET_MODE_STRICT in two ways:
1. exit_group syscall is allowed; it just terminates the
process
2. Parent/reaper sees SIGSYS as the killing signal instead of
SIGKILL, if the process tries to do a syscall not in the
explicitly allowed list
*/
return EXIT_SUCCESS;
}
并使用
运行gcc -Wall -O2 example.c -o example
或在./example
下查看完成的系统调用和库调用;
strace
strace ./example
BPF计划非常简单。第一个操作码将系统调用号加载到累加器中。接下来的五个操作码将它与可接受的系统调用号进行比较,如果找到,则跳转到允许系统调用的最终操作码。否则,倒数第二个操作码会终止该过程。
请注意,虽然文档中提到strict_filter
是允许的系统调用,但Linux中系统调用的实际名称是sigreturn
。 (rt_sigreturn
已被弃用,有利于sigreturn
年前。)
此外,安装过滤器时,操作码将被复制到内核内存(请参阅Linux内核源代码中的man 2 prctl
),因此如果以后修改数据,它不会以任何方式影响过滤器。换句话说,使结构rt_sigreturn
对安全性没有影响。
我使用static const
,因为不需要在此编译单元外部(或在剥离的二进制文件中)可见符号,并且static
将数据放入只读数据部分ELF二进制文件。
const
的形式很简单:将累加器(系统调用号)与BPF_JUMP(BPF_JMP | BPF_JEQ, nr, equals, differs)
进行比较。如果它们相等,则跳过下一个nr
操作码。否则,将跳过下一个equals
操作码。
由于equals case跳转到最终的操作码,你可以在顶部添加新的操作码(也就是说,在初始操作码之后),增加每个操作码的等于跳过次数。
请注意,安装seccomp过滤器后differs
将无效,因为在内部,C库需要执行printf()
系统调用(在标准输出上)和fstat
系统调用为缓冲区分配一些内存。