什么系统调用来阻止/允许/检查创建程序主管

Question

按照 使用 ptrace 在用户空间中编写程序管理程序，我正在尝试创建在线法官的程序主管组件。

我需要完全阻止哪些系统调用，始终允许或检查以下属性：

• 防止分叉或运行其他命令
• 限制为标准“安全”C 和 C++ 库
• 防止网络访问
• 限制访问除 2 个文件“in.txt”之外的所有文件和“out.txt”
• 阻止访问任何系统功能或详细信息。
• 防止应用程序逃离其监管者
• 防止任何令人讨厌的事情。

感谢任何帮助/建议/链接，非常感谢。

Answer 1

如果您只想系统调用检查另一个进程，您可以使用 ptrace()，但您将没有任何保证，如 使用 ptrace 在用户空间中编写程序管理程序。

您可以使用 valgrind 来检查和挂钩函数调用、库，但这会很乏味，而且也许黑名单不是这样做的好方法。

您还可以使用 systrace，（ http://en.wikipedia.org/wiki/Systrace ）编写规则以授权/阻止各种事情，例如仅打开某些文件等...使用它来沙箱进程很简单。

Answer 2

从安全角度来看，最好的方法是弄清楚您需要允许什么，而不是您需要拒绝什么。我建议从一个主管开始，它只记录一组已知良性程序所做的一切，然后将这些系统调用和文件访问列入白名单。当新程序与这个限制非常严格的沙箱发生冲突时，您可以根据具体情况评估放宽限制，直到找到正确的配置文件。

这本质上就是在 Mac OS X 上开发应用程序沙箱配置文件的方式。

Answer 3

也许您可以配置 AppArmor 来执行您想要的操作。来自常见问题解答：

AppArmor 是当今市场上最有效且易于使用的 Linux 应用程序安全系统。 AppArmor 是一个安全框架，通过强制执行良好的程序行为并防止未知的软件缺陷被利用，主动保护操作系统和应用程序免受外部或内部威胁，甚至零日攻击。 AppArmor 安全配置文件完全定义了各个程序可以访问哪些系统资源以及具有哪些权限。 AppArmor 中包含许多默认策略，并且结合使用先进的静态分析和基于学习的工具，即使是非常复杂的应用程序的 AppArmor 策略也可以在几个小时内成功部署。