[Linux]seccomp沙盒机制

最新推荐文章于 2025-10-26 06:08:58 发布
转载 最新推荐文章于 2025-10-26 06:08:58 发布 · 2.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
原文链接:https://szlin.me/2017/08/23/kernel_seccomp/ https://blog.youkuaiyun.com/ATOOHOO/article/details/88957596

本文介绍了Seccomp机制,一种用于限制程序系统调用的安全机制。通过禁用特定的系统调用,如execve,Seccomp能有效防止程序流被劫持后获取shell。文章提供了使用Seccomp的代码示例,并提到了通过prctl设置沙盒环境来进一步增强安全性。
部署运行你感兴趣的模型镜像

Seccomp机制简介

seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如劫持程序流后通过execve的syscall来getshell.通过seccomp我们可以在程序中禁用掉某些syscall,这样就算劫持了程序流也只能调用部分的syscall了.

2、 使用seccomp

#include <stdio.h>
#include <unisted.h>
#include <seccomp.h>

int main(void){

         scmp_filter_ctx ctx;

         ctx = seccomp_init(SCMP_ACT_ALLOW);

         seccomp_rule_add(ctx, SCMP_ACT_KILL, SCMP_SYS(execve), 0);

         seccomp_load(ctx);

         char * filename = "/bin/sh";

         char * argv[] = {"/bin/sh",NULL};

         char * envp[] = {NULL};

         write(1,"i will give you a shell\n",24);

         syscall(59,filename,argv,envp);//execve

         return 0;
}

今天做题遇到的沙盒机制

通过prctl(PR_SET_SECCOMP, 2, …)设置沙盒,禁用一些syscall,
在这里插入图片描述
PR_SET_NO_NEW_PRIVS=38
在这里插入图片描述

使用工具

seccomp(github上)可以识别沙盒的规则,还可以自己写规则
在这里插入图片描述

您可能感兴趣的与本文相关的镜像

LobeChat

LobeChat

AI应用

LobeChat 是一个开源、高性能的聊天机器人框架。支持语音合成、多模态和可扩展插件系统。支持一键式免费部署私人ChatGPT/LLM 网络应用程序。

LINUX SECCOMP模块介绍
SHELLCODE_8BIT的博客
11-22 3227
Seccomp是 "secure computing" 的 缩写。Linux内核2.6.12版本(2005年3月8日)引入。是linux一个安全模块,用于限制程序系统调用;我们来看下例子。
linux安全之seccomp
快乐时光
04-15 4668
介绍 seccomp按照字面意思可以理解为security computing,最早是作用于网格计算,主要通过限制进程的系统调用来完成部分沙箱隔离功能。 通过man prctl可以发现,seccomp的引入是在内核2.6.23,早期的seccomp主要限制read、write、exit以及sigreturn四个系统调用。内核3.5版本引入filter模式,将seccomp分成strict和filter两种。其中strict依旧限制四种系统调用,而filter模式则借助了Berkeley ...
Linux Seccomp 简介
小立仔
02-27 2937
Linux Seccomp简介,以及其简单的使用。
使用Multipass学习Linux:安全的沙盒环境搭建指南
最新发布
gitblog_00755的博客
10-26 432
你还在担心学习Linux时误操作导致系统崩溃?还在为配置开发环境占用本地资源而烦恼?Multipass(虚拟机实例编排工具)提供了安全隔离的Ubuntu虚拟机环境,让你可以放心练习Linux命令、测试脚本和部署应用,所有操作都不会影响主机系统。读完本文,你将掌握:安全虚拟机的创建与管理、文件共享配置、学习场景实战及数据备份技巧。 ## 安装Multipass ### 系统要求 | 操作系统 ...
linux3.5 Seccomp
lhj893614438的博客
01-20 302
Seccomp (即“"secure computing”的别名)是2.6.12版本重新加入的简单沙盒机制,用来确保系统调用处于受限状态(仅允许对已打开的文件进行exit, sigreturn, read 和 write操作)。Seccomp现在又增加了新功能:不再是有限并且确定的系统调用,Seccomp现在已经成了一种过滤机制,用来管理一个系统调用是否被禁止(和Berkeley Packet F...
Linux Seccomp 简介_seccomp严格模式(1),作为网络安全程序员
sfdsfgdgd的博客
04-08 1044
Killed。
Linux沙箱技术介绍
chenglinhust的专栏
11-21 5930
Linux沙箱技术介绍
seccomp实现安全判题沙箱
qq_30262407的博客
06-10 1501
软件判题器需要一下几点直接返回值结果 创建限制与返回结果 按照判题器的要求创建资源限制,返回结果以及判题器的配置文件 创建判题器核心 rlimit linux下对资源进行限制的函数是位于**下的getrlimit和setrlimit** 系统的资源由最初的0号进程获取,后续所有的子进程继承父进程的资源限制每个子进程也可以调用setrlimit改变资源限制rlimit的结构 对应的resource参数可选如下: exit code 返回的状态码是0表示执行成功对于完整的f...
linux 安全系列目录 - seccomp安全模块问题排查
热门推荐
yushuoqi的博客
11-03 2万+
seccomp是一种Linux内核特性,允许限制进程可以执行的系统调用,以增加应用程序的安全性。总的来说,libseccomp是一个强大的工具,可用于在Linux系统上实施安全策略,并限制应用程序的系统调用。
seccomp-nurse:探索基于SECCOMP的沙盒框架及其局限性
SECCOMP是一种用于实现沙盒机制的技术,它可以限制一个进程可以使用的系统调用数量,从而提高系统的安全性。 沙盒是一种安全机制,用于隔离运行中的程序,防止其对系统的其他部分造成影响。在沙盒环境中,程序的...
Linux应用沙盒化与分发框架研究
或者是一份详细的对比分析报告,比较各类沙盒机制的安全性、性能开销与易用性。此外,也可能附带自动化测试用例,验证沙盒是否成功阻止非法文件读写或网络连接尝试。这些资源对于理解底层原理、动手实践具有重要价值...
LINUX自带 沙盒用途 ,如何使用?
03-26
seccompLinux内核的沙盒机制,用于限制进程可执行的系统调用。默认情况下,启用seccomp后仅允许`read()`、`write()`、`exit()`和`sigreturn()`等基础系统调用[^1]。 **使用场景**:安全运行不可信代码或限制应用...
基于多安全机制的Linux应用沙箱的设计与实现.pdf
09-06
基于多安全机制的Linux应用沙箱的设计与实现.pdf
seccomp-nurse:基于SECCOMP的沙盒框架
05-19
安全护士 该项目现已存档。 这是一个有趣的项目,但是它不再编译/运行,并且现在已经实现了更好的机制:firejail,crosvm,gvisor等。 关于 seccomp-nurse是基于SECCOMP沙箱框架。 如何使用它? $ git clone git://github.com/nbareil/seccomp-nurse.git $ cd seccomp-nurse/ $ make $ ./sandbox -- /usr/bin/pdftotext ~/resume.pdf /tmp/resume.txt 很简单,不是吗? 目前的局限性 dlopen()尚不支持 clone() (因此fork()和线程)将永远不受支持 socket() :正在进行中! exec*()将永远不受支持 目前,尚未实施安全检查。 沙盒是敞开的! 这将是下一步。 参考 关于“ 博客文章 ” 关
沙盒机制下I/O设备的安全隔离漏洞
06-17
### 沙盒机制下 I/O 设备安全隔离漏洞的成因及解决方案 沙盒机制是一种用于确保程序运行安全与隔离的技术手段,通过将程序限制在一个封闭的环境中运行,防止其对系统资源或其他程序造成影响[^1]。然而,在沙盒机制...
Linux沙箱技术
summer_fish的专栏
12-01 2468
Linux系统中,由于其开放源代码和广泛应用的特点,安全性成为了一个关键问题。为了确保系统的安全性,研究者们提出了许多解决方案,其中之一就是进程沙箱隔离。进程沙箱隔离是一种将应用程序与底层操作系统隔离开来的技术。通过将应用程序运行在一个受限的环境中,可以有效地防止恶意软件或有害程序对系统的攻击和破坏。进程沙箱隔离主要依靠操作系统的安全机制来实现。在Linux系统中,可以利用命名空间(namespace)和 控制组(cgroup)等功能来构建进程沙箱
linux内核沙箱原理,Android沙箱机制
weixin_30062621的博客
05-01 883
一说到沙箱,相信大家都有一个大概的认识:每个App会被分配一个uid,互相之间数据不能随意访问。虽然做上层开发有这么个大概的认识基本也就够了,不过深入了解一下可能会给你的开发带来新的思路。今天我们就深挖一下所谓的沙箱机制。大家都知道Android底层是Linux内核,而这一切也都源于Linux的权限机制。Linux 权限机制用户 uid gid gids进程 uid gid gids,继承于所属用...
pwnable_orw-seccomp沙箱
个人笔记
04-11 951
但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。还能调用o(open)/r(read)/w(write)功能,题目orw的提示就是这样来的!输出flag文件内容,sys_write(1,file,0x30);手动生成读取文件shellcode。
seccomp sandbox简介
xpylq的博客
01-06 4081
转自:http://www.linuxidc.com/Linux/2015-02/112913.htm Seccomp(secure computing)是Linux kernel (自从2.6.23版本之后)所支持的一种简洁的sandboxing机制。它能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system calls),即read(), write(),
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值