seccomp如何过滤系统?
我正在研究seccomp的实现细节,这是自3.5版以来引入Linux的syscall过滤机制。我查看了Linux3.10中内核/seccomp.c的源代码,并想问一些关于它的问题。
从seccomp.c看来,seccomp_run_filters()似乎是从__secure_computing()调用的,以测试当前进程调用的syscall。但是,查看seccomp_run_filters(),作为参数传递的syscall数字在任何地方都不使用。
sk_run_filter()似乎是BPF过滤器机器的实现,但是sk_run_filter()是从seccomp_run_filters()调用的,其中带有第一个参数(运行过滤器的缓冲区)为NULL。
我的问题是: seccomp_run_filters()如何在不使用参数的情况下过滤系统?
以下是seccomp_run_filters()的源代码:
/**
* seccomp_run_filters - evaluates all seccomp filters against @syscall
* @syscall: number of the current system call
*
* Returns valid seccomp BPF response codes.
*/
static u32 seccomp_run_filters(int syscall)
{
struct seccomp_filter *f;
u32 ret = SECCOMP_RET_ALLOW;
/* Ensure unexpected behavior doesn't result in failing open. */
if (WARN_ON(current->seccomp.filter == NULL))
return SECCOMP_RET_KILL;
/*
* All filters in the list are evaluated and the lowest BPF return
* value always takes priority (ignoring the DATA).
*/
for (f = current->seccomp.filter; f; f = f->prev) {
u32 cur_ret = sk_run_filter(NULL, f->insns);
if ((cur_ret & SECCOMP_RET_ACTION) < (ret & SECCOMP_RET_ACTION))
ret = cur_ret;
}
return ret;
}回答 1
Stack Overflow用户
发布于 2014-01-10 20:02:12
当用户进程进入内核时,寄存器集被存储到内核变量中。函数sk_run_filter实现了过滤器语言的解释器。有关seccomp过滤器的相关指令是BPF_S_ANC_SECCOMP_LD_W。每个指令都有一个常量k,在本例中它指定要读取的单词的索引。
#ifdef CONFIG_SECCOMP_FILTER
case BPF_S_ANC_SECCOMP_LD_W:
A = seccomp_bpf_load(fentry->k);
continue;
#endif函数seccomp_bpf_load使用用户线程的当前寄存器集来确定系统调用信息。
https://stackoverflow.com/questions/19828141
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号