如何禁用针对Linux进程的套接字创建?
发布时间:2020-12-13 19:34:28 所属栏目:Linux 来源:网络整理
导读:我正在考虑几个沙盒化 Linux选项.使用clone()与CLONE_NEWNET(等)是选项之一. CLONE_NEWNET确保沙盒进程无法建立或接受真正的网络连接.但是我想完全禁用这个进程的套接字,甚至绑定()到0.0.0.0上的任何端口,并绑定到Unix doman套接字(甚至匿名).我想这样做,以
|
我正在考虑几个沙盒化
Linux选项.使用clone()与CLONE_NEWNET(等)是选项之一. CLONE_NEWNET确保沙盒进程无法建立或接受真正的网络连接.但是我想完全禁用这个进程的套接字,甚至绑定()到0.0.0.0上的任何端口,并绑定到Unix doman套接字(甚至匿名).我想这样做,以防止进程通过绑定到数千个端口使用太多的内核资源.我怎么做?
一般来说,我对许多沙盒方法感兴趣(即由Linux内核提供的那些方法和由ptrace()强制执行的方法),但在这个问题中,我只对沙盒方法的套接字创建方面感兴趣(所以如果你建议使用沙盒方法,还请解释如何使用它来阻止套接字创建),而对于需要内核补丁或涉及加载不属于Ubuntu Lucid默认二进制内核软件包的内核模块的方法,我并不感兴趣这将影响系统上的每个进程. 解决方法
ptrace似乎是最明显的工具,但除此之外…
util-linux [-ng]有一个命令 Linux内核还支持seccomp,一种使用prctl(PR_SET_SECCOMP,1)输入的模式,它阻止进程(以及线程,真的)调用除read,write,exit和sigreturn之外的任何系统调用.这是一个非常有效的沙箱,但很难使用未修改的代码. 您可以定义一个不允许socket / bind / etc的SELinux域.调用并执行到该类型的动态转换.这(显然)需要一个具有积极执行SELinux策略的系统. (可能与AppArmor和TOMOYO类似的东西是可能的,但我不太熟悉任何一个.) (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |