个人中心
gpt4 book ai didi

java - 不一致的 seccomp 行为

转载 作者:塔克拉玛干 更新时间:2023-11-02 20:23:22 26 4
gpt4 key购买 nike

我正在使用 Linux 的 seccomp 来包含不同的应用程序,但我遇到了一个我无法解释的不一致问题。

我已尝试为您提供足够清晰的示例以重现该问题。

我正在创建一个“保护器模块”,它不允许进程调用 set_robust_list(为了演示问题)。然后我运行进程,在其中使用 LD_PRELOAD 注入(inject)这个“保护器模块”,并期望进程在进行此系统调用时停止。

我正在基于这段代码创建一个共享对象:

#include <seccomp.h>
#include <sys/prctl.h>

static void  __attribute__((constructor))  Initialization(void) {
   scmp_filter_ctx ctx;
   prctl(PR_SET_NO_NEW_PRIVS, 1);
   ctx = seccomp_init(SCMP_ACT_ALLOW); 
   seccomp_rule_add(ctx, SCMP_ACT_KILL, SCMP_SYS(set_robust_list), 0);
   seccomp_load(ctx);
}

我正在使用 gcc -shared seccompdemo.c -lseccomp -o libseccompdemo.so 构建它。

然后为了测试它,我正在构建这个可执行文件:

#define _GNU_SOURCE       
#include <unistd.h>
#include <sys/syscall.h>  

int main() {
   syscall(SYS_set_robust_list,0,0);
   return 0;
}

我正在使用 gcc set_robust_list.c -o set_robust_list 构建它。

然后正如预期的那样我用上面的命令运行这个可执行文件,它被一个信号杀死:

$ LD_PRELOAD=./libseccompdemo.so ./set_robust_list
Bad system call (core dumped)

问题是当我试图用 Java 做同样的事情时。

我在 java 上调用相同的“保护器模块”它似乎不起作用尽管我知道 Java 正在从 strace 调用 set_robust_list:

$ LD_PRELOAD=./libseccompdemo.so java FileWriterTest /tmp/hosts < /etc/hosts
$ echo $?
0

查看 strace 输出证明 java 正在调用 'set_robust_list':

$ strace -f java FileWriterTest /tmp/hosts < /etc/hosts 2>&1 | grep set_robust_list
set_robust_list(0x7f0b168af660, 24)     = 0
[pid 12847] set_robust_list(0x7f0b168ad9e0, 24 <unfinished ...>
[pid 12847] <... set_robust_list resumed> ) = 0
[pid 12848] set_robust_list(0x7f0b12b259e0, 24) = 0

我确实看到 java 调用 clone 系统调用主要是为了创建线程。我想也许 seccomp 过滤器不是继承的,但根据文档,它们是继承的。

如果有人能向我解释为什么这不起作用,我将非常高兴。

此处供引用的是 Java 代码:

import java.io.FileOutputStream;
import java.io.IOException;

public class FileWriterTest {

    public static void main(String[] args) {            
        try {
            FileOutputStream f = new FileOutputStream(args[0]);
            f.write(System.in.readAllBytes());
        }
        catch (IOException e) {
            System.out.format("Caught exception: "+e.toString());
        }
    }
}

最佳答案

Bad system call (core dumped) 消息是您的 shell 告诉您子进程因 SIGSYS 信号而退出。但是,如果 SIGSYS 被阻塞,系统调用将只返回一个错误,该错误将以特定于应用程序的方式进行处理。

我猜 pthread_create 在执行时会阻塞信号,因此 set_robust_list 只会在 SIGSYS 被阻塞的情况下被调用,这与您的示例代码不同修改信号掩码。

无论如何,它不应该真正影响你想要完成的事情:添加一个 System.out.println("Hello from Java!"); 到你的 java main 如果预加载 segcomp 过滤器,您将看到它不会打印,因为 main 从未按预期调用。

关于java - 不一致的 seccomp 行为,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49362446/

26 4 0
文章推荐: Java TimerService 下一次执行时间是过去
文章推荐: iphone - 将 iPhone 项目转换为 iPad 项目?
文章推荐: iphone - Obj-C,未能及时启动,正在做一些需要 20 秒的数据库处理,建议?
文章推荐: java - 从两种不同的形式获取 servlet 中的值
塔克拉玛干
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com