seccomp如何处理ptrace事件

Question

我正在使用seccomp过滤器来限制进程进行的系统调用。使用系统调用的白名单来允许和禁止系统调用是可以理解的。我坚持由seccomp规则生成的ptrace事件的概念。例如，我可以禁止open，但是我想在open系统调用时生成ptrace事件，这样我就可以确定进程是否可以打开该文件。我的具体问题是如何捕获由seccomp生成的ptrace事件？任何帮助或参考都将是一个伟大的福气。

我用我微不足道的能力在谷歌上搜索，但没有找到任何帮助和运行示例。

Answer 1

你需要有一个单独的程序来追踪下级。此跟踪程序将调用

    ptrace(PTRACE_SETOPTIONS, tracee_pid, 0, PTRACE_O_TRACESECCOMP);

请求通知，并调用

    waitpid(tracee_pid, &status, __WALL);

得到通知。当waitpid返回时，分析status，并通过检索通知

    unsigned long data;
    ptrace(PTRACE_GETEVENTMSG, tracee_pid, 0, &data);