限制 Linux 应用程序的系统调用访问

Question

假设 Linux 二进制文件 foobar 有两种不同的操作模式：

• 模式 A：行为良好的模式，其中系统调用 a、b 和 <使用代码>c。
• 模式 B：一种错误模式，其中使用系统调用 a、b、c 和 d 。

系统调用 a、b 和 c 是无害的，而系统调用 d 有潜在危险，可能会导致机器不稳定。

进一步假设应用程序运行的两种模式中的哪一种是随机的：应用程序在模式 A 中运行的概率为 95%，在模式 B 中运行的概率为 5%。该应用程序没有源代码，因此无法修改，只能按原样运行。

我想确保应用程序无法执行系统调用d。执行系统调用 d 时，结果应该是 NOOP 或立即终止应用程序。

如何在 Linux 环境中实现这一点？

Answer 1

应用程序是静态链接的吗？

如果没有，你可以重写一些符号，例如让我们重新定义socket：

int socket(int domain, int type, int protocol)
{
        write(1,"Error\n",6);
        return -1;
}

然后构建一个共享库：

gcc -fPIC -shared test.c -o libtest.so

让我们运行：

nc -l -p 6000

好的。

现在：

$ LD_PRELOAD=./libtest.so nc -l -p 6000
Error
Can't get socket

当您使用变量 LD_PRELOAD=./libtest.so 运行时会发生什么？它使用 libtest.so 中定义的符号覆盖 C 库中定义的符号。

Answer 2

看来 systrace 正是您所需要的。从维基百科页面：

应用程序只能进行策略中指定的系统调用。如果应用程序尝试执行未明确允许的系统调用，则会引发警报。

Answer 3

这是沙箱（具体来说，基于规则的执行）的一种可能应用。一种流行的实现是 SELinux。

您必须编写策略< /a> 对应于您希望允许进程执行的操作。

Answer 4

这正是 seccomp-bpf 的用途。请参阅示例如何限制对系统调用。