应用沙盒seccomp的使用

原创 已于 2023-02-21 21:32:00 修改 · 1.4k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #服务器 #运维

于 2023-02-21 21:07:29 首次发布
本文介绍了Seccomp,一种Linux内核的沙盒机制,用于限制进程的系统调用。详细讲述了在Linux系统上的配置与使用,并深入探讨了在Android平台上的编译与应用,包括配置文件的含义、政策叠加方式以及如何实例化和调试Seccomp策略。

应用沙盒原理参考https://zhuanlan.zhihu.com/p/513688516

1、什么是Seccomp?

seccomp 是 secure computing 的缩写,其是 Linux kernel 从2.6.23版本引入的一种简洁的 sandboxing 机制。

系统调用:

在Linux中,将程序的运行空间分为内核与用户空间(内核态和用户态),在逻辑上它们之间是相互隔离的,因此用户程序不能访问内核数据,也无法使用内核函数。系统调用就是一种特殊的接口。通过这个接口,用户可以访问内核空间。系统调用规定了用户进程进入内核的具体位置。

具体步骤:用户进程–>系统调用–>内核–>返回用户空间

使用方式参考https://www.jianshu.co

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Sec-comp机制简介及编程案例
李老板的移动安全杂货铺
12-03 2219
然后,我们使用`seccomp_rule_add()`函数添加了一些允许的系统调用,例如`open()`、`read()`、`write()`和`close()`。然后,我们使用`seccomp_load()`函数加载seccomp过滤器,`prctl()`函数将本进程设置为seccomp模式,并运行了“she'll”进程(你可以将路径更改为she'll进程的正确路径)。seccomp机制的优点是可以有效地限制应用程序的权限和可执行的系统调用,减少了恶意代码的攻击面,提高了系统的安全性。
linux 安全系列目录 - seccomp安全模块问题排查
热门推荐
yushuoqi的博客
11-03 2万+
seccomp是一种Linux内核特性,允许限制进程可以执行的系统调用,以增加应用程序的安全性。总的来说,libseccomp是一个强大的工具,可用于在Linux系统上实施安全策略,并限制应用程序的系统调用。
【容器安全必修课】:为什么90%的Docker环境都忽略了Seccomp配置?
最新发布
LogicGlow的博客
11-24 746
掌握Docker容器安全关键一步:解析Docker容器的Seccomp安全配置与系统调用限制,适用于生产环境加固与权限最小化实践。通过默认策略优化与自定义过滤规则,有效防范潜在攻击。提升容器安全性,值得收藏。
Seccomp BPF 详细解析
x646602196的博客
04-13 2709
Secommp (SECure COMPuting) 是 Linux 内核 2.6.12 版本引入的安全模块,主要是用来限制某一进程可用的系统调用 (system call)。它最初被用于 cpushare 这个项目,让人们可以出租自己空闲的 cpu cycle 来执行 untrusted code。这个 feature 本身并不是一个 (sandbox),它只是一种减少 Linux 内核暴露的机制,是构建一个安全的的重要组成部分。
上手 seccomp
龙瑜的博客
01-21 3015
NAME seccomp - operate on Secure Computing state of the process SYNOPSIS #include <linux/seccomp.h> #include <linux/filter.h> #include <linux/audit.h> #include <linux/signal.h> #include <sys/ptrace.h> int seccomp(unsigned i
seccomp介绍
mashimiao的专栏
06-22 2万+
什么是seccomp seccomp(全称securecomputing mode)是linuxkernel从2.6.23版本开始所支持的一种安全机制。 在Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,
Linux应用化与分发框架研究
Linux应用化与分发框架是现代Linux系统中保障应用程序安全运行、提升跨平台兼容性以及简化部署流程的重要技术体系。该压缩包文件“Linux application sandboxing and distribution framework.zip”所涵盖的内容...
seccomp的原理及使用
sunxingzhesunjinbiao的专栏
11-01 1222
先上结论:当前,逆向与反逆向技术已经卷的不能再卷了,矛与盾的攻防永远不会有结论。常规的libc库函数的hook方案,在程序逆向破解过程中的帮助已经越来越弱,而如果你深入研究了seccomp技术,也许能为你的逆向破解之路增添不小的帮助。seccomp的原理主要基于内核中的,尤其是,通过为进程设置一个系统调用的白名单或黑名单,达到限制其操作系统交互的目的。
基于systemd-nspawn的Linux容器化多应用环境
本资源包所涉及的技术体系围绕systemd-nspawn这一原生Linux容器管理工具展开,结合Deepin与Debian系统的深度集成、wine兼容层构建、多应用支持(特别是QQ、TIM、微信等国产社交软件)、隔离机制、多用户配置以及...
Dify高级使用与系统权限配置指南
Dify基于轻量级隔离技术(可能结合了seccomp、namespaces等Linux内核机制)限制了进程可执行的系统调用(syscalls),以防止恶意代码破坏宿主机系统。然而,在实际应用中,某些合法任务(如读写临时文件、发起...
seccomp-nurse:探索基于SECCOMP框架及其局限性
虽然seccomp-nurse项目已经停止维护,但它展示了基于SECCOMP技术在Linux系统中的应用。对于有兴趣深入学习和研究Linux安全机制的开发者来说,该项目仍然是一个很好的学习资源。 在seccomp-nurse项目中,用户...
Android O中的Seccomp过滤器
谷歌开发者
08-12 1597
文 / Google Android 安全工程师 Paul Lawrence 在运行 Android 的设备中,强制执行 Android 安全模型的重任交给内核处理。由于安全团队已加固 Android 用户空间,隔离进程并削弱进程的权限,因此,越来越多的安全攻击将其焦点转到内核上。系统调用是攻击者攻击内核的常用方式之一。 所有 Android 软件都使用系统调用(简称为 sys
Seccomp
2301_80798825的博客
09-19 736
seccomp是内核中的一种安全机制,正常情况下(没有打开seccomp),程序是可以使用所有的syscall,这是不安全的。ptrctl 和 seccomp 的系统调用分别为157,317;然后要想进行orw,我们得知道open,read,write函数的地址,可以通过libc加上printf函数泄露的函数地址就可以得到libc_base。1.在SECCOMP_MODE_STRICT的模式下,进程只能使用read,write,_exit 和 sigreturn系统调用。seccomp可以通过系统调用。
Google官方介绍Android O中的Seccomp过滤器
weixin_34375233的博客
07-31 336
文 / Android 安全工程师 Paul Lawrence在运行 Android 的设备中,强制执行 Android 安全模型的重任交给内核处理。由于安全团队已加固 Android 用户空间,隔离进程并削弱进程的权限,因此,越来越多的安全攻击将其焦点转到内核上。系统调用是攻击者攻击内核的常用方式之一。所有 Android 软件都使用系统调用(简称为 syscall)与 Linux 内核进行通信...
seccomp的学习
凌云俯瞰
04-01 8782
做pwn,用seccomp箱保护很常见。有时候seccomp后面会跟一个结构体,趁此机会学习一把。 1、 简介 seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如劫持程序流后通过execve的syscall来getshell.通过seccomp我们可以在程序中禁用掉某些syscall,这样就算劫持了程序流也只能调用部分的syscall了. 2...
linux3.5 Seccomp
lhj893614438的博客
01-20 305
Seccomp (即“"secure computing”的别名)是2.6.12版本重新加入的简单机制,用来确保系统调用处于受限状态(仅允许对已打开的文件进行exit, sigreturn, read 和 write操作)。Seccomp现在又增加了新功能:不再是有限并且确定的系统调用,Seccomp现在已经成了一种过滤机制,用来管理一个系统调用是否被禁止(和Berkeley Packet F...
k8s 的pod服务开启seccomp实验测试
weixin_45692576的博客
06-29 1954
最简单和最容易理解的定义 可能是 “系统调用防火墙”。 本质上是一种限制进程可能进行的系统调用的机制, 因此就像阻止来自某些 IP 的数据包一样,也可以阻止进程向 CPU 发送系统调用用处:Linux 内核有很多系统调用(几百个),但是任何给定进程都不需要它们中的大多数。但是,如果进程可能会受到损害并被欺骗使用其中一些系统调用,那么它可能会导致整个系统出现严重的安全问题。因此,限制哪些系统调用进程可以大大减少内核的攻击面。系统内核是否开启 功能: docker是否开启 功能如果您正在运行任何最新版本的
Linux/Android之seccomp介绍及使用(一百一十六)
Android系统攻城狮
07-06 5026
seccompLinux的一种安全机制,android 8.1以后版本使用seccomp.主要功能是限制直接通过syscall去调用某些系统函数 3.strict模式和filter模式应用 1.strict模式# emacs strict.c 2.基于BPF(伯克利分组过滤器)的seccomp安装依赖包 上述基于prctl系统调用的seccomp机制不够灵活,在linux 3.5之后引入了基于BPF的可定制的系统调用过滤功能。# emacs filter.c.........
SECCOMP
SHELLCODE_8BIT的博客
11-15 603
浅谈Linux SECCOMP安全机制在容器中的使用 - 腾讯云开发者社区-腾讯云 (tencent.com)
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Kael.dong

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值