个人中心
文章发布
退出
作者热门文章
- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
27
4
我现在正在实现在 fork 之后在子进程中运行另一个程序。
int main(int argc, char *argv[]) {
pid_t pid = 0;
int status;
struct user_regs_struct regs;
prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0);
prctl(PR_SET_DUMPABLE, 0);
scmp_filter_ctx ctx;
ctx = seccomp_init(SCMP_ACT_KILL); // default action: kill
// build rules for whitelist of system calls
for (int i = 0; i < size_of_whitelist_syscall; i++) {
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, whitelist_syscall[i], 0);
}
pid = fork();
if (pid != 0) {
while (waitpid(pid, &status, 0)) {
if (WIFEXITED(status)) {
fprintf(stderr, "terminated with code %d\n", WEXITSTATUS(status));
break;
} else if (WIFSIGNALED(status)) {
if (WTERMSIG(status) == 31) {
fprintf(stderr, "terminated by system call violation\n");
} else {
fprintf(stderr, "terminated by signal %d\n", WTERMSIG(status));
}
break;
}
ptrace(PTRACE_GETREGS, pid, NULL, ®s);
//fprintf(stderr, "%s(%lld) from pid %d\n", callname(REG(regs)), REG(regs), pid);
ptrace(PTRACE_SYSCALL, pid, NULL, NULL);
}
} else if (pid == 0) {
FILE *fp_in = freopen("std.in", "r", stdin);
FILE *fp_out = freopen("std.out", "w", stdout);
FILE *fp_error = freopen("err.out", "a+", stderr);
ptrace(PTRACE_TRACEME, 0, NULL, NULL);
seccomp_load(ctx);
execl("/usr/bin/java", "/usr/bin/java", "Test", NULL);
//execl("/usr/bin/python3", "python", "./test.py", NULL);
//execl("./test.out", "./test.out", NULL);
seccomp_release(ctx);
fclose(fp_in);
fclose(fp_out);
fclose(fp_error);
exit(0);
} else {
perror("failed to fork");
}
return 0;
}
int whitelist_syscall[] = {
SCMP_SYS(access),
SCMP_SYS(arch_prctl),
SCMP_SYS(brk),
SCMP_SYS(clone),
SCMP_SYS(close),
SCMP_SYS(dup),
SCMP_SYS(execve),
SCMP_SYS(exit_group),
SCMP_SYS(fcntl),
SCMP_SYS(fstat),
SCMP_SYS(futex),
SCMP_SYS(getcwd),
SCMP_SYS(getdents),
SCMP_SYS(getegid),
SCMP_SYS(geteuid),
SCMP_SYS(getgid),
SCMP_SYS(getpid),
SCMP_SYS(getrandom),
SCMP_SYS(getuid),
SCMP_SYS(ioctl),
SCMP_SYS(lseek),
SCMP_SYS(lstat),
SCMP_SYS(mmap),
SCMP_SYS(mprotect),
SCMP_SYS(munmap),
SCMP_SYS(openat),
SCMP_SYS(prlimit64),
SCMP_SYS(read),
SCMP_SYS(readlink),
SCMP_SYS(rt_sigaction),
SCMP_SYS(rt_sigprocmask),
SCMP_SYS(set_robust_list),
SCMP_SYS(set_tid_address),
SCMP_SYS(sigaltstack),
SCMP_SYS(stat),
SCMP_SYS(sysinfo),
SCMP_SYS(write)
};
int size_of_whitelist_syscall = sizeof(whitelist_syscall) / sizeof(int);
如上所示,我正在测试运行只是简单的“Hello world”的 C/Python/Java 程序。
seccomp_load(ctx);
execl("/usr/bin/java", "/usr/bin/java", "Test", NULL);
//execl("/usr/bin/python3", "python", "./test.py", NULL);
//execl("./test.out", "./test.out", NULL);
我允许使用 seccomp 进行一些白名单系统调用。
运行 Python 和 C 程序并将它们的输出重定向到文件。
在 Java 的情况下,子进程正常终止,但如果我加载 seccomp,输出就会消失。否则,我会看到“Hello World”消息。
谢谢。
最佳答案
我自己回答。
我尝试在 JVM 上运行 Java 程序。它没有向 parent 发送正确的信号,所以看起来一切都很好。
我的问题与 I/O 问题、缓冲 I/O、刷新或文件描述符无关。
我通过逐行删除系统调用来测试 ALLOW 规则。
以下是 JVM 的最少系统调用:
SCMP_SYS(access),
SCMP_SYS(arch_prctl),
SCMP_SYS(brk),
SCMP_SYS(clock_getres),
SCMP_SYS(clone),
SCMP_SYS(close),
SCMP_SYS(connect),
SCMP_SYS(execve),
SCMP_SYS(exit_group),
SCMP_SYS(fchdir),
SCMP_SYS(fcntl),
SCMP_SYS(fstat),
SCMP_SYS(ftruncate),
SCMP_SYS(futex),
SCMP_SYS(getcwd),
SCMP_SYS(getdents),
SCMP_SYS(geteuid),
SCMP_SYS(getpid),
SCMP_SYS(gettid),
SCMP_SYS(getuid),
SCMP_SYS(kexec_load),
SCMP_SYS(kill),
SCMP_SYS(lseek),
SCMP_SYS(lstat),
SCMP_SYS(mkdir),
SCMP_SYS(mmap),
SCMP_SYS(mprotect),
SCMP_SYS(munmap),
SCMP_SYS(openat),
SCMP_SYS(prctl),
SCMP_SYS(pread64),
SCMP_SYS(prlimit64),
SCMP_SYS(pselect6),
SCMP_SYS(read),
SCMP_SYS(readlink),
SCMP_SYS(rt_sigaction),
SCMP_SYS(rt_sigprocmask),
SCMP_SYS(rt_sigreturn),
SCMP_SYS(sched_getaffinity),
SCMP_SYS(sched_yield),
SCMP_SYS(set_robust_list),
SCMP_SYS(set_tid_address),
SCMP_SYS(socket),
SCMP_SYS(stat),
SCMP_SYS(sysinfo),
SCMP_SYS(uname),
SCMP_SYS(unlink),
SCMP_SYS(write)
关于C SECCOMP 阻塞或关闭 STDIN/STDOUT,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57100617/
27
4
0
我有以下代码来捕获和处理运行命令输出。 如何修改它以便运行命令窗口显示输出并同时记录输出?更换 @SW_HIDE与 @SW_SHOW (或等效的)只显示一个空白的命令窗口。 类似于linux的东西te
[已编辑] 用于处理 subprocess.Popen 标准输出的 2 个选项是 stdout="a_file_name" 和 stdout=subprocess.PIPE。 stderr 可以通过
c99 的 7.19.3/7 节指出: At program start-up, three text streams are predefined and need not be opened ex
我正在运行以下 proc_open 函数。加载页面时,出现错误: Use of undefined constant STDOUT - assumed 'STDOUT'` 如何正确设置STDOUT和S
我有一个运行多个进程的开发堆栈:网络服务器、自动测试、后台编译等。所有这些都是基本的命令行命令,例如 node app.js 或 lein midje :autotest. 是否可以使用一个脚本在“后
我正在使用 SLURM 在 super 计算机上调度作业。我已设置 --output=log.out 选项,将作业标准输出中的内容放入文件 (log.out)。我发现该文件每 30-60 分钟更新一次
ansible/ansible-playbook 版本:2.1.2.0/2.2.0.0 我正在尝试使用 yum/apt 安装软件包,但由于安装软件包的存储库位于 packagecloud.io 中,有
bala@hp:~$ echo "Hello World" > stdout bala@hp:~$ cat stdout Hello World bala@hp:~$ echo "Hello Worl
在从 Fortran 编写的外部库中调用嘈杂的函数之前,我正在使用如下代码重定向标准输出: // copy standard output out = dup(STDOUT_FILENO); // c
这个问题在这里已经有了答案: How can I pipe stderr, and not stdout? (11 个答案) 关闭 6 年前。 我有一个程序,我想检查其 STDERR 输出并在其上运
我正在从 perl 运行一个 java 应用程序 这是脚本 #!/usr/bin/perl use strict; use warnings; $| = 1; my $args = join (" "
我正在尝试将 python 脚本的 STDOUT 重定向到一个文件。 如果 STDOUT 是从 sys 导入的,脚本的输出不会被重定向到一个文件: from sys import stdout std
我正在尝试使用 PHP 和 Apache(在 Docker 的前台运行)写入 stdout(或 stderr)。 这些作品: file_put_contents( "php://stderr","wo
我正在尝试重定向标准输出,以便 Windows 应用程序中的 printf 将转到我选择的文件。 我这样做: outFile = fopen("log.txt", "w"); *stdout = *o
在 Ruby 中,$stdout(前面有一个美元符号)和 STDOUT(全部大写)有什么区别?在进行输出重定向时,应该使用哪个,为什么? $stderr 和 STDERR 也是如此。 编辑: 刚找到一
让我们看看这个Hello World程序 #include int main(int argc, char ** argv) { printf("Hello, World!"); c
我在 64 位机器上运行 Ubuntu 20.04。 我想将 stdout 重定向到从 memfd_create 获得的描述符。似乎使用 memfd_create 创建的匿名文件只有在 stdout
我想在 Python 脚本末尾捕获控制台输出。也就是说,我既想正常打印到控制台,又想在执行结束时将控制台输出保存到文件中。 我看过各种相关的 SO 问题 1 , 2 , 3尽管他们要么简单地重定向输出
我知道可以将两者都重定向到特定文件: ./command 1> out.log 2> err.log 或 ./command 1>test.log 2>&1 将两者写入文件。但是我不知道在只打印其中一
我知道可以将两者都重定向到特定文件: ./command 1> out.log 2> err.log 或 ./command 1>test.log 2>&1 将两者写入文件。但是我不知道在只打印其中一
我是一名优秀的程序员,十分优秀!