Como executar um programa apenas com um conjunto explicitamente permitido de chamadas do sistema usando o seccomp?

1

O Linux tem o recurso seccomp que é usado para filtrar o syscalls de acordo com um programa especial .

Existe até mesmo dropper.c demo que permite para iniciar programas com um syscall retornando o erro fornecido.

Já foi implementado por alguém algum wrapper seccomp não-demo, mais utilizável, que me permita executar um programa com uma whitelist de syscalls? Esperando algo assim:

# limit_syscalls  access brk close connect dup \
      execve exit_group fcntl64 fstat64 getsockname \
      getuid32 mmap2 mprotect munmap open read set_thread_area \
      setuid32 socket write -- /bin/ping 127.0.0.1
    
por Vi. 02.02.2013 / 02:00

1 resposta

1

Implementado usando libseccomp .

    
por 05.02.2013 / 00:44