不一致的seccomp行为

时间:2018-03-19 11:59:12

标签: java linux-kernel ld-preload seccomp

我正在使用Linux的seccomp来处理不同的应用程序,我遇到了一个我无法解释的不一致。

我试图给你足够清晰的例子来重现这个问题。

我正在创建一个“保护模块”,它不允许进程调用set_robust_list(为了演示问题)。然后我运行进程,我使用LD_PRELOAD注入这个“保护器模块”,并期望在进行系统调用时进程停止。

我正在根据以下代码制作共享对象:

#include <seccomp.h>
#include <sys/prctl.h>

static void  __attribute__((constructor))  Initialization(void) {
   scmp_filter_ctx ctx;
   prctl(PR_SET_NO_NEW_PRIVS, 1);
   ctx = seccomp_init(SCMP_ACT_ALLOW); 
   seccomp_rule_add(ctx, SCMP_ACT_KILL, SCMP_SYS(set_robust_list), 0);
   seccomp_load(ctx);
}

我正在使用gcc -shared seccompdemo.c -lseccomp -o libseccompdemo.so构建它。

然后测试它我正在构建这个可执行文件:

#define _GNU_SOURCE       
#include <unistd.h>
#include <sys/syscall.h>  

int main() {
   syscall(SYS_set_robust_list,0,0);
   return 0;
}

我正在使用gcc set_robust_list.c -o set_robust_list构建此内容。

然后按预期我用上面的内容运行这个可执行文件,然后它会被一个信号杀死:

$ LD_PRELOAD=./libseccompdemo.so ./set_robust_list
Bad system call (core dumped)

问题是当我尝试用Java做同样的技巧时。

我在java上调用相同的“保护程序模块”似乎不起作用尽管我知道Java正在从strace调用set_robust_list

$ LD_PRELOAD=./libseccompdemo.so java FileWriterTest /tmp/hosts < /etc/hosts
$ echo $?
0

请参阅strace输出,证明java正在调用'set_robust_list':

$ strace -f java FileWriterTest /tmp/hosts < /etc/hosts 2>&1 | grep set_robust_list
set_robust_list(0x7f0b168af660, 24)     = 0
[pid 12847] set_robust_list(0x7f0b168ad9e0, 24 <unfinished ...>
[pid 12847] <... set_robust_list resumed> ) = 0
[pid 12848] set_robust_list(0x7f0b12b259e0, 24) = 0

我确实看到java调用clone系统调用主要用于创建线程。我想也许seccomp过滤器不是继承的,但根据他们的文档。

如果有人能解释我为什么不起作用,我会很高兴。

这里参考的是Java代码:

import java.io.FileOutputStream;
import java.io.IOException;

public class FileWriterTest {

    public static void main(String[] args) {            
        try {
            FileOutputStream f = new FileOutputStream(args[0]);
            f.write(System.in.readAllBytes());
        }
        catch (IOException e) {
            System.out.format("Caught exception: "+e.toString());
        }
    }
}

1 个答案:

答案 0 :(得分:0)

Bad system call (core dumped)消息是您的shell告诉您子进程由于SIGSYS信号而退出。但是如果SIGSYS被阻止,系统调用将只返回一个错误,该错误将以特定于应用程序的方式处理。

我猜pthread_create会在执行时阻止信号,因此set_robust_list仅在SIGSYS被阻止的情况下被调用,与您不修改信号掩码的示例代码不同。

无论如何,它不应该真正影响您正在尝试完成的任务:向您的System.out.println("Hello from Java!");添加main,您会看到它不会打印出来你预加载segcomp过滤器,因为永远不会按预期调用main

相关问题
最新问题