如何编写seccomp BPF程序过滤系统调用指令指针
seccomp BPF(Secure Computing Mode Berkeley Packet Filter)是Linux内核提供的一种安全机制,用于限制进程能够执行的系统调用。编写seccomp BPF程序可以过滤系统调用指令指针,从而增强系统的安全性。
编写seccomp BPF程序的步骤如下:
- 创建一个BPF过滤器程序:首先,需要创建一个BPF过滤器程序,该程序将定义允许或禁止的系统调用。BPF程序是一种特殊的汇编语言,用于描述过滤规则。
- 定义过滤规则:在BPF程序中,可以使用一系列的BPF指令来定义过滤规则。这些规则可以基于系统调用号、参数值、调用上下文等条件进行匹配和过滤。可以使用BPF指令来允许或禁止特定的系统调用。
- 加载BPF程序:将编写好的BPF程序加载到内核中,使其生效。可以使用seccomp()系统调用来加载BPF程序。
编写seccomp BPF程序需要一定的编程知识和对系统调用的理解。以下是一些常见的名词和概念:
- seccomp:一种Linux内核安全机制,用于限制进程能够执行的系统调用。
- BPF:Berkeley Packet Filter,一种虚拟机指令集,用于过滤和处理数据包。
- 系统调用:进程通过系统调用接口请求操作系统提供的服务或资源。
- 指令指针:程序中的指令地址,用于指示下一条要执行的指令。
seccomp BPF程序的编写可以根据具体的需求和安全策略进行定制。它可以用于增强应用程序的安全性,防止恶意代码利用系统调用进行攻击。在云计算领域,seccomp BPF程序可以应用于容器技术、虚拟化环境等场景,提供更加安全的运行环境。
腾讯云提供了一系列与云计算安全相关的产品和服务,例如腾讯云安全组、腾讯云堡垒机等,可以帮助用户保护云上资源的安全。具体的产品介绍和相关链接可以参考腾讯云官方网站的安全产品页面:https://cloud.tencent.com/product/security
请注意,以上答案仅供参考,具体的编写seccomp BPF程序的实现细节和最佳实践可能需要进一步的研究和实践。
相关·内容
1回答
seccomp如何过滤系统?
、、、、
我正在研究seccomp的实现细节,这是自3.5版以来引入Linux的syscall过滤机制。我查看了Linux3.10中内核/seccomp.c的源代码,并想问一些关于它的问题。
从seccomp.c看来,seccomp_run_filters()似乎是从__secure_computing()调用的,以测试当前进程调用的syscall。但是,查看seccomp_run_filters(),作为参数传递的syscall数字在任何地方都不使用。
sk_run_filter()似乎是BPF过滤器机器的实现,但是sk_run_filter()是从seccomp_run_filters()调用的,其
浏览 7提问于2013-11-07得票数 8
回答已采纳
我有点困惑,试图使用ptrace + seccomp获得syscall的返回值。
说:
FILTER MACHINE
A filter program is an array of instructions, with all branches forwardly
directed, terminated by a return instruction
男人2说:
PTRACE_O_TRACESECCOMP
While this triggers a PTRACE_EVENT stop, it is
similar to a syscall-enter-stop, in that
浏览 2提问于2019-03-05得票数 3
回答已采纳
我正在创建一个。我不改变系统调用中的任何内容,我只是将其记录在我的结构中,当进程完成时-我将该结构转储到磁盘上。
当我像这样运行我的程序时(称为tracer):
示踪剂env
一切正常工作,然后我会看到文件中的日志。但是,如果我试图跟踪一个调用内部execve的程序,它会失败:
追踪器监视-n1 env
或
示踪剂strace -o /tmp/log env
在stdout中失败
env:加载共享库时出错:无法为搜索路径创建缓存:无法分配内存
而日志:
$ cat /tmp/log
execve("/usr/bin/env", ["env
浏览 0提问于2019-05-07得票数 3
回答已采纳
1回答
我正在使用seccomp,需要将跳转语句的跳转值(jt/jf/k) (条件跳转/跳转始终)设置为存储在累加器中的值。这个是可能的吗?我有预感它不是,因为BPF验证器无法在加载过滤器之前检查跳转值。如果没有,有什么解决办法吗?
struct sock_filter filter =
{
BPF_STMT(BPF_LD | BPF_W | BPF_ABS, offsetof(struct seccomp_data, nr)),
BPF_STMT(BPF_JMP | BPF_JA, /* Value stored in the accumulator */),
...
浏览 5提问于2021-07-23得票数 0
回答已采纳
是否可以在seccomp的BPF代码中使用其他数据结构而不是seccomp_data?例如从这个..。
...
BPF_STMT(BPF_LD+BPF_W+BPF_ABS,(offsetof (struct seccomp_data, args[0]))),
...
到这个
...
BPF_STMT(BPF_LD+BPF_W+BPF_ABS,(offsetof (struct my_data, my_field[0]))),
...
浏览 9提问于2019-11-25得票数 1
回答已采纳
1回答
问题:,我正在尝试使用seccomp,但我不明白为什么gcc告诉我seccomp()函数调用有一个隐式声明。
#define _GNU_SOURCE
#include <stddef.h> // offsetof
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <linux/audit.h> // arch
#include <linux/filter.h>
#include <linux/seccomp.h>
#inclu
浏览 2提问于2019-08-04得票数 2
回答已采纳
1回答
当通过使用seccomp通知( SECCOMP_RET_USER_NOTIF )时,我发现PID作为seccomp_notif结构的一部分对于某些筛选决策非常有用。在ebpf过滤器中,可以使用助手函数(如bpf_get_current_pid_tgid() )来获取此类信息。但由于seccomp似乎只支持经典的BPF,我想知道是否还有其他方法。据我所知,在seccomp过滤器中,只能访问seccomp_data结构。是否有一种方法可以直接获取分段过滤器中的PID之类的特定信息?
浏览 5提问于2020-12-21得票数 1
回答已采纳
是否可以编写seccomp-BPF程序来过滤系统调用指令指针?例如,在不是从libc执行系统调用指令的情况下终止进程。
浏览 44提问于2020-05-19得票数 0
回答已采纳
我写了一个简单的ebpf,所以我用obj = bpf_object__open_file(filename, NULL);打开它
当我做prog = bpf_object__find_program_by_name(obj, "kprobe/__x64_sys_write");的时候
此函数返回NULL并打印消息printf("finding a prog in obj file failed\n");。因此,基本上我的函数或程序无法在对象文件中找到,我想知道原因可能是什么,所以我也发现在调用bpf_object__open_file之后,我的errno被设置
浏览 16提问于2022-01-24得票数 2
查看内核的sample/bpf/sock_example.c
struct bpf_insn prog[] = {
BPF_MOV64_REG(BPF_REG_6, BPF_REG_1),
BPF_LD_ABS(BPF_B, ETH_HLEN + offsetof(struct iphdr, protocol) /* R0 = ip->proto */),
BPF_STX_MEM(BPF_W, BPF_REG_10, BPF_REG_0, -4), /* *(u32 *)(fp - 4) =
浏览 6提问于2021-05-07得票数 1
回答已采纳
FreeBSD内核中bpf_filter()可能的返回码是什么?
每个返回码的含义是什么?
在这个问题上并不清楚。
bpf_filter()函数在包pkt上从pc开始执行过滤程序。wirelen参数是原始数据包的长度,buflen是存在的数据量。0的buflen值是特殊的;它表明pkt实际上是指向mbuf链(struct mbuf *)的指针。
返回值
如果没有过滤器,则bpf_filter()函数返回-1 (转换为无符号整数)。否则,它将返回过滤程序的结果。
有匹配时获取65535,没有匹配时获取0。不确定返回值65535的含义。
有人能详细解释一下bpf_filter()的返回码吗?
浏览 4提问于2016-08-25得票数 1
我一直在研究x8664的ABI,编写程序集,以及研究堆栈和堆是如何工作的。
考虑到以下代码:
#include <linux/seccomp.h>
#include <stdlib.h>
#include <unistd.h>
int main(int argc, char *argv[]) {
// execute the seccomp syscall (could be any syscall)
seccomp(...);
return 0;
}
在x86-64大会上,这将做以下工作:
对齐堆栈指针(默认为8字节)。
浏览 5提问于2016-03-31得票数 3
回答已采纳
1回答
我正在阅读代码,特别是验证LD_ABS和LD_IND指令(check_ld_abs())安全性的部分。正如注释所述,这些指令隐含地期望在r6寄存器中输入,也就是说,我们必须在这里加载指向__sk_buff的指针。因此,我验证了BPF_PROG_TYPE_SOCKET_FILTER类型的下列程序将被验证器拒绝:
struct bpf_insn prog[] = {
BPF_LD_ABS(BPF_B, offsetof(struct iphdr, protocol)),
/* exit with value 0 */
BPF_MOV64_IMM(BPF_REG_0, 0),
浏览 6提问于2021-05-07得票数 1
回答已采纳
我知道bpf程序可以以不同的方式加载到内核中,tc/k探头/套接字.
我想知道是否有一个接口什么的,通过它我可以得到我加载的所有的bpf程序吗?如果没有这样的事情,如果我留下一些可能改变我的网络数据的bpf程序是危险的吗?
一个不小的问题,如何卸载tc-bpf程序,我真的要删除qdisc每次吗?
浏览 1提问于2018-08-01得票数 4
回答已采纳
1回答
我是eBPF的新手,有很多教程说eBPF只是扩展的BPF,但我不明白extended是什么意思?那么,BPF和eBPF之间有什么区别呢?这些示例是否驻留在Linux源文件[root]/samples/bpf eBPF示例中,还是仅仅驻留在BPF中?
浏览 6提问于2022-05-19得票数 1
1回答
因此,我研究了samples/bpf/*示例,并在最近使用libbpf的代码中找到了以下模式
struct bpf_link *links[PROGS_NUM] = { NULL, };
struct bpf_program *prog;
struct bpf_object *obj;
int i = 0;
obj = bpf_object__open_file(filename, NULL);
bpf_object__load(obj);
bpf_object__for_each_program(prog, obj) {
links[i] = bpf_program__attach(
浏览 1提问于2021-04-22得票数 1
回答已采纳
1回答
我想学习linux,如果我编写了一个ebpf程序test.c,使用了llvm:
clang -O2 -target bpf -o test.o test.c.如何在经典bpf中获得像tcpdump -d这样的ebpf程序集,谢谢。
浏览 2提问于2016-10-12得票数 10
我想为每个TOS值计算传入的网络数据包及其字节数。我创建了两个映射,第一个映射有256个条目,包含每个TOS值的数据包计数,第二个映射包含数据包字节。因此,我编写了以下eBPF套接字过滤器:
struct bpf_insn prog[]{
BPF_MOV64_REG(BPF_REG_6, BPF_REG_1),
//we use dgram socket, so packet starts directly from IP header
// BPF_LD_ABS(BPF_H, offsetof(struct ethhdr, h_proto)), // r0 = header t
浏览 0提问于2020-11-12得票数 1
回答已采纳
2回答
在阅读了man bpf和其他一些文档之后,我的印象是map只能由用户进程创建。然而,下面的小程序似乎神奇地创建了bpf映射:
struct bpf_map_def SEC("maps") my_map = {
.type = BPF_MAP_TYPE_ARRAY,
.key_size = sizeof(u32),
.value_size = sizeof(long),
.max_entries = 10,
};
SEC("sockops")
int my_prog(struct bpf_sock_
浏览 7提问于2018-01-02得票数 11
回答已采纳
我刚刚在我的ubuntu 14服务器上安装了vsftp。我还使用sudo apt-get install命令安装了vsftp。然后重新启动ftp服务器,但是它拒绝所有的连接,因为这个错误,500 OOPS: prctl PR_SET_SECCOMP failed,请看这里。
aysael@srv:~$ sudo ftp
ftp> open 127.0.0.1
Connected to 127.0.0.1.
500 OOPS: prctl PR_SET_SECCOMP failed
这里是我的配置文件/etc/vsftpd.conf
seccomp_sandbox=no
listen=YE
浏览 0提问于2015-05-29得票数 1
回答已采纳
1回答
验证者在哪里打印它的消息?我有一个嵌入在struct bpf_insn中的简单代码,我以BPF_PROG_TYPE_SOCKET_FILTER类型加载并附加这些代码:
struct bpf_insn prog[] = {
BPF_MOV64_REG(BPF_REG_6, BPF_REG_1),
BPF_EXIT_INSN(),
};
这段代码是故意出错的(在退出之前没有初始化R0)。bpf_prog_load()返回EACCESS错误并未能加载,这是预期的,但我想要验证器消息(在dmesg或控制台中没有任何内容)。
浏览 3提问于2021-05-05得票数 2
回答已采纳
如果我理解tools/testing/selftests/bpf/bpf_helpers.h中的“好”,就会定义heleprs原型。
如果我想现在使用特定程序类型的帮助程序,我需要在'func_proto(enum bpf_func_id func_id' kernel/ net/ drivers/的结果中搜索
例如,要检查套接字筛选程序可以调用的帮助程序,我可以读取以下定义
static const struct bpf_func_proto *
sock_filter_func_proto(enum bpf_func_id func_id, const struct bpf
浏览 2提问于2019-09-05得票数 0
回答已采纳
1回答
我试图运行一个简单的bpf程序,我写的。但是我不能以非根用户的身份运行它。下面是我要加载的程序,它基本上是指向我的地图的指针,它的fd是map_fd (我没有显示我创建映射的代码)。它作为根用户工作,但由于某些原因,对非root用户失败。
不名-a输出
Linux 5.8.0-38-generic #43~20.04.1-Ubuntu SMP Tue Jan 12 16:39:47 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux
BPF程序
BPF_MOV64_IMM(BPF_REG_0, 0),
BPF_STX_MEM(BPF_W, BPF_REG_10, B
浏览 3提问于2021-01-29得票数 3
回答已采纳
我会创建一个映射,只存储一个元素(端口号),它应该是从userspace和kernelspace读取/编写的。我应该使用哪种类型的地图?键和值的大小是合适的,我如何从两边写/读?
_user.c
/* create array map with one element */
map_fd = bpf_create_map(BPF_MAP_TYPE_ARRAY, sizeof(key), sizeof(value), 1, 0);
...
/* update map */
ret = bpf_map_update_elem(map_fd, &key, &i, BPF_ANY);
浏览 1提问于2019-08-23得票数 1
回答已采纳
我读取了moby项目的原始代码,并在moby/profiles文件夹中读取了seccomp代码。我知道码头使用libseccomp来支持这个功能。
我们通常使用libseccomp.NewFilter() API来创建seccomp。但是,我看不到libseccomp中涉及到的任何API,除了可以在libseccomp.GetNativeArch()中看到的
moby/profiles/seccomp/seccomp.go
因此,我想知道对接守护进程如何初始化每个容器的seccomp过滤器?如果我错了,请纠正我。
浏览 4提问于2019-03-06得票数 1
1回答
如果我想编写一个过滤icmp数据包的cBPF程序,我可以通过执行tcpdump和-dd选项来实现
将数据包匹配代码作为C程序片段转储。
..see下面的示例
如何用eBPF指令编写相同的程序?
#include <sys/socket.h>
#include <sys/types.h>
#include <arpa/inet.h>
#include <linux/if_ether.h>
/* ... */
/* From the example above: tcpdump -i lo icmp -dd */
struct sock_f
浏览 0提问于2019-07-15得票数 1
回答已采纳
我正在编写一个自定义应用程序,它读取C代码,调用LLVM从C代码生成BPF字节码,然后重新定位任何bpf映射符号并将其上传到内核。我可以成功地上传和运行不使用BPF映射的程序,但是一旦我将程序重新定位为使用BPF映射,我就会得到以下错误:
invalid mem access 'map_ptr'
详情如下:
以下输入将提供给LLVM:
// Placeholder values for user-requested maps
void *a;
#include <linux/ptrace.h>
#include <uapi/linux/bpf.h>
#
浏览 195提问于2018-06-03得票数 1
回答已采纳
我有一个函数f(),它返回0或1-0表示false,1表示true。我想做的是用seccomp-bpf设置一个规则,这样只有当f( --fopen的第一个参数--) == 1时才允许系统调用"fopen“。
我该怎么做呢?
浏览 3提问于2014-12-01得票数 1
应该在调用seccomp_load()之后也释放过滤器吗?或者只有当一些对seccomp_rule_add()的调用失败时?
例如
OPTION1
r = seccomp_rule_add(...)
if r < 0 seccomp_relase(...)
r =seccomp_rule_add(...)
if r < 0 seccomp_relase(...)
seccomp_load(...)
OPTION2
r = seccomp_rule_add(...)
if r < 0 seccomp_relase(...)
r =seccomp_rule_add(...)
i
浏览 0提问于2019-08-11得票数 0
回答已采纳
示例systemd单元文件,我指的是"seccomp“。
ProtectSystem=full
ProtectHome=true
ProtectKernelTunables=true
ProtectKernelModules=true
ProtectControlGroups=true
PrivateTmp=true
PrivateMounts=true
PrivateDevices=true
MemoryDenyWriteExecute=true
RestrictRealtime=true
SystemCallArchitectures=native
RestrictNamespac
浏览 0提问于2019-06-27得票数 2
我试图为不同的系统调用实现陷阱函数。目标是,代理将执行它们,然后返回结果。这样客户端就不会自己执行命令了。
Seccomp提供了实现这一目标的能力:
我做了什么?
初始化信号处理程序vor SIGSYS信号。
使用Action SCMP_ACT_TRAP初始化seccomp筛选器。
等待SA_SIGINFO信号。
修改结果系统调用的返回值。
一般来说,这种方法是可行的。它也是这样使用在铬项目和mozilla。
问题
更改系统调用的返回值,返回整数,就像open一样。更改函数返回指针的返回值不起作用(例如getcwd)。
不知何故,只返回第一个参数,这甚至不是在所有情况下
浏览 17提问于2017-12-03得票数 3
1回答
是否可以在不同的程序类型之间共享ebpf映射。我需要在tc程序和cgroup bpf程序之间共享一个映射。如果映射被固定在充当全局命名空间的文件系统上,则这应该是可能的。但是,我还没有做到这一点。
该映射由tc-bpf程序创建,并固定在全局命名空间上。由于它是tc程序,所以它是结构化的bpf_elf_map类型.这个bpf程序是通过iproute2加载的。
现在,我有一个cgroup bpf程序,它应该访问这个映射,但是由于它是通过user.c (libbpf)或bpftool加载的,而不是iproute,所以这里定义的映射不能是‘bpf_ bpf_map_def _ map’,但它是stru
浏览 6提问于2019-10-18得票数 6
1回答
如何使用BPF过滤内核函数参数?
、、、、
如何使用伯克利包过滤器(BPF)过滤内核中的函数参数?该函数应该是任何非内联函数,而不仅仅是系统调用。另外,函数参数中的指针可以取消引用以进行验证。
我搜索了互联网,但找不到任何用例。大多数材料只描述如何使用seccomp /seccomp。
eBPF和k探针/j探针似乎是集成在一起来实现挂钩的。但我在网上找不到一个好的例子。
浏览 3提问于2016-07-30得票数 6
回答已采纳
当触发跟踪点eBPF时,我正在编写一个小的consume_skb程序来设置一个标志。但是,当我尝试加载它时,BPF验证器会发出抱怨,在试图访问映射时使用R1 type=inv expected=map_ptr。我试图尽可能地遵循linux内核中给出的示例,但我甚至连地图上的任何东西都看不出来。
eBPF程序
#include <uapi/linux/bpf.h>
#include <bpf/bpf_helpers.h>
struct {
__uint(type, BPF_MAP_TYPE_ARRAY);
__type(key, u32);
__
浏览 10提问于2022-06-13得票数 0
回答已采纳
1回答
从内核空间访问BPF映射
、、、、
我从XDP和BPF地图开始。
我知道要从用户空间访问BPF映射,我们使用bpf_*系统。例如,bpf_map_lookup_elem()用于在用户空间程序中查找BPF映射的一个元素。但是,我注意到,相同的syscalls也用于访问加载在内核上的XDP程序中的映射(ref )。)。
我假设这样的程序应该在内核空间中运行,因此是否有其他方法可以从内核空间访问这些BPF映射?还是XDP加载的程序也是用户空间的一部分,但只在内核中运行?
浏览 3提问于2022-01-14得票数 2
回答已采纳
1回答
我已经编写了几个生产BPF代理,但是我的方法是非常迭代的,直到我满足验证器并可以继续前进。我又达到极限了。
这里有一个程序,如果我少了一个&&条件,它就能工作--否则就会中断。令人困惑的是,警告意味着103 insns大于at most 4096 insns。很明显,关于这一切是如何串在一起的,我有些误解。
我的最终目标是基于进程环境进行日志记录--因此欢迎采用其他方法。:)
误差
$ sudo python foo.py
bpf: Argument list too long. Program too large (103 insns), at most 4096 insn
浏览 8提问于2021-11-28得票数 4
回答已采纳
1回答
因此,我正在尝试编写一个程序来解析我网络上的某些udp数据包。为此,我使用了Sharppcap和C#。我有一个过滤器表达式,它在wireshark中完美地工作:udp and frame.protocols==eth:ethertype:ip:udp:data。 然而,当我试图在我的C#应用程序中实现它时,我得到了一个异常,因为过滤器表达式不是BPF有效的(我认为)。 有没有人知道正确的语法在BPF中能达到同样的效果?
浏览 15提问于2021-01-12得票数 1
回答已采纳
1回答
我正在使用ptrace跟踪一些进程及其子进程。我正在尝试打印特定的系统调用(使用通知ptrace的Seccomp过滤器,请参阅)。
在大多数情况下,我的代码(见下文)运行良好。但是,当我跟踪一个java程序(来自默认的-jre包)时,后者使用CLONE_THREAD标志进行克隆。由于某种原因,我的追踪器挂起(我相信),因为我不能接收来自克隆过程的信号。我认为原因是(根据),子进程实际上变成了原始进程的父进程的子进程,而不是原始进程的子进程。
我使用一个简单的程序复制了这个问题,该程序简单地调用带有标志的clone()并执行操作。当我使用CLONE_THREAD | CLONE_SIGHAND
浏览 10提问于2022-07-15得票数 2
回答已采纳
1回答
我最近一直在研究BPF,但由于一个非常基本的问题,它没有进展。 我像man bpf(2)中描述的那样包含了linux/bpf.h,但是GCC找不到bpf函数。这段代码只是为了测试一下,以确保GCC可以找到bpf函数。 #include <linux/bpf.h>
int main()
{
bpf(0,(void *)0,0);
return 0;
} GCC的输出是这样的。 $ gcc -o test bpf.c
bpf.c: In function ‘main’:
bpf.c:5:2: warning: implicit declaration of func
浏览 15提问于2019-02-22得票数 6
回答已采纳
我正在开发一个运行不可信代码的应用程序。我一直在为linux设计它,认为如果需要的话,我可以在windows上的虚拟机上运行它。linux的安全特性是,不受信任的代码是在seccomp下运行的一种解释语言,其中syscalls由类似seccomp的胞勒斯策略、限制性linux容器内和限制性AppArmor配置文件进行中介。
不过,我刚刚想到了如何在windows下运行这个虚拟化的程序:假设一个敌对的程序设法破坏了解释的语言,并在虚拟机中执行任意机器代码。它能绕过linux访问策略,直接调用主机windows OS吗?如果是这样的话,我将需要相应的沙箱策略在windows本身,这是我非常不了解的
浏览 0提问于2011-12-16得票数 8
回答已采纳
我正在尝试编写一个BPF程序,它检查任何调用tty_write内核函数的进程的会话ID。为了检索ID,我需要跟随指向当前task_struct的指针中的许多字段,但是从指向当前任务的指针检索group_leader指针似乎是错误的,因为来自当前任务指针的偏移量太大。我的BPF程序代码如下:
SEC("kprobe/tty_write")
int kprobe__tty_write(struct pt_regs *ctx)
{
struct task_struct *task;
struct task_struct *group_leader;
struc
浏览 1提问于2018-02-13得票数 1
回答已采纳
对不起,我对编写eBPF代码非常陌生,所以我遇到了一个似乎无法摆脱的错误。在sudo跑似乎没什么用。我编写了一个较慢的crc32程序来编译,但是这个程序无论如何都不想执行。我想知道我是否打破了任何我没有看到的约定。
bpf_text2 = """
#include <uapi/linux/ptrace.h>
int crc32(struct pt_regs *ctx) {
char str[256] = {};
bpf_probe_read(&str, sizeof(str), (void *)PT_REGS_RC(ctx));
const uin
浏览 10提问于2021-05-24得票数 1
回答已采纳
我试图用Linux源代码编译示例bpf程序。所以我下载了当前的内核源代码并输入了samples/bpf文件夹。
apt source linux
cd linux-*/samples/bpf
然后我试着用gcc编写了一个示例程序:
# gcc sock_example.c
sock_example.c:29:10: fatal error: bpf/bpf.h: No such file or directory
29 | #include <bpf/bpf.h>
| ^~~~~~~~~~~
compilation terminated.
我找不
浏览 2提问于2021-11-01得票数 3
回答已采纳
我有一个现有的程序,我想沙箱使用seccomp (v2)。
我如何才能找到我需要为程序允许哪些seccomp规则?
我已经尝试为strace -xfc a.out输出的所有syscall添加seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(…), 0),但显然这还不够,因为当我使用seccomp运行程序时,仍然收到"SIGSYS,Bad system call“。
浏览 80提问于2018-07-02得票数 1
回答已采纳
1回答
我想知道是否可以在Go程序的子进程中安装seccomp筛选器。目前我正在派生子进程,如下所示: cmd := exec.Command(target)
cmd.Stdout = os.Stdout
cmd.Stdin = os.Stdin
cmd.Stderr = os.Stderr
cmd.SysProcAttr = &unix.SysProcAttr{
Ptrace: true,
}
cmd.Start()
cmd.Wait() 这可以很好地工作,并且SysProcAttr提供了一种在子进程中启用Ptrace的机制。但是,似乎没有任何支持在孩子中安装seccomp筛选器
浏览 74提问于2020-12-05得票数 1
回答已采纳
我试图弄清楚ebpf程序如何在内核空间中更改函数的结果(在我的例子中,不是syscall )。我发现了许多关于ebpf如何将内核变成可编程内核的文章和博客文章,但似乎每个示例都只是只读跟踪和收集统计数据。
我可以想到几种方法: 1)使内核应用程序从ebpf程序读取内存;2)使ebpf更改函数的返回值;3)允许ebpf程序调用内核函数。
第一种方法似乎不是一个好主意。第二个就够了,但据我所知,这并不容易。说系统是只读的。说这是可能的,但是函数需要在内核中白化。这让我认为白名单是固定的,只有通过重新编译内核才能改变,这是正确的吗?第三个似乎是最灵活的,鼓励我研究它。这就是我要找的。
我从一个全新的
浏览 24提问于2022-09-08得票数 1
回答已采纳
是否可以在数据报套接字上使用BPF过滤数据包?
当我尝试附加筛选器时,没有发生错误,但是我没有收到任何数据包。我使用libpcap编译了一个过滤器,这个过滤器可以使用tcpdump。
以下是我的代码的简短版本:
static const char filter[] = "udp[8] == 0x00";
int sock = socket(AF_INET, SOCK_DGRAM, 0);
pcap_t *pcap = pcap_open_dead(DLT_RAW, 1024);
struct bpf_program bpf_prog;
pcap_compile(pcap, &a
浏览 3提问于2014-07-01得票数 3
在编写bpf程序时,一些在线教程总是使用
struct rlimit rlim_new = {
.rlim_cur = RLIM_INFINITY,
.rlim_max = RLIM_INFINITY,
};
setrlimit(RLIMIT_MEMLOCK, &rlim_new);
以消除bpf程序的内存使用限制。这使得程序需要root权限。我想知道是否有等价物不需要root权限。
谢谢你,彭。
浏览 2提问于2021-02-05得票数 0
2回答
在设置了严格模式seccomp后,现在将EXIT_SUCCESS设置为Η。在main末尾调用syscall(SYS_exit, EXIT_SUCCESS);是正确的做法吗?
#include <stdlib.h>
#include <unistd.h>
#include <sys/prctl.h>
#include <linux/seccomp.h>
#include <sys/syscall.h>
int main(int argc, char **argv) {
prctl(PR_SET_SECCOMP, SE
浏览 4提问于2015-10-15得票数 21
1回答
包嗅探中的pcap分割故障
、、、、
我试图用C编写一个包嗅探程序,当我成功编译后尝试运行该程序时,我遇到了一个分段错误。我试图识别导致程序分段错误的确切代码行,方法是注释掉一些代码并重新编译程序,然后重新运行我的程序的较小版本。这是我的密码。
void got_packet(u_char *args, const struct pcap_pkthdr *header, const u_char *packet)
{
printf("Got a packet\n");
}
int main()
{
pcap_t *handle;
char errbuf[PCAP_ERRBUF_SIZE];
st
浏览 3提问于2020-01-28得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
