在沙箱环境中运行程序时如何禁止系统调用？

Question

我正在查看 codepad.org，一段 while(1) fork 给出了以下输出。

不允许的系统调用：SYS_fork

检查此链接以获取确切的详细信息。 http://codepad.org/rNR9mMVv

谷歌搜索更多，我知道他们还使用套接字禁用系统调用。

不允许的系统调用：SYS_socketcall

谁能告诉我如何在沙盒环境中运行程序之前禁用某些系统调用？

Answer 1

通过用具有空存根或异常抛出器而不是真实函数的模拟替换运行时库？

Answer 2

如果您愿意付出性能损失，可以使用 ptrace() 来实现此目的。我现在似乎找不到另一种方法。

Answer 3

系统调用通过操作系统将函数注入到进程中来工作。但是，如果您为自己喜欢的可执行格式编写了自定义加载程序，则可以将其链接到您自己的加载程序。如果格式允许，您还可以对可执行文件进行二进制更改，以从您提供的单独动态库中提取这些函数。

Answer 4

我知道这是一个老问题，但我正在研究同样的东西，所以这是我的建议 - 使用 SELinux。 Gentoo 项目，有一些关于 SELinux 的好东西。查看 SELinux 策略类型< /a> (4.b)，特别是有针对性的政策。我不确定 codepad.org，但类似的 ideone.com 使用 Gentoo，所以也许 SELinux 应该是最简单的方法。