简体繁体 English

seccomp-bpf-如何使用bpf过滤系统调用的参数？

[英]seccomp-bpf - how can i use bpf to filter the arguments of a system call?

原文 2014-11-30 21:27:47 0 1 c/ filter/ seccomp/ bpf

I have a function f() which returns 0 or 1 - 0 for false, 1 for true. 我有一个函数f（），它为false返回0或1-0，为true返回1。 What I'd like to do is set a rule with seccomp-bpf so that the system call "fopen" is only allowed if f( --fopen's first parameter-- ) == 1. 我想做的是使用seccomp-bpf设置一条规则，以便仅当f（--fopen的第一个参数-）== 1时才允许系统调用“ fopen”。

How would I do this? 我该怎么做？

1 个解决方案

as far as I understand seccomp-bpf it's impossible for an arbitrary f(). 据我了解seccomp-bpf，对于任意f（）都是不可能的。 If f could be translated as a BPF sequence, just apply it to the first parameter. 如果f可以转换为BPF序列，只需将其应用于第一个参数。

another alternative is to use ptrace or a combination of seccomp-buf and ptrace to finegrained limit the capabilities of fopen call 另一种选择是使用ptrace或seccomp-buf和ptrace的组合来细化限制fopen调用的功能

an example of such combined use is sydbox http://dev.exherbo.org/~alip/sydbox/sydbox.html 此类组合用法的一个示例是sydbox http://dev.exherbo.org/~alip/sydbox/sydbox.html

如何在Ubuntu上使用Berkeley数据包过滤器（BPF） - How to use berkeley packet filter (BPF) on ubuntu

如何使用 bpf 返回数据包 - How can I return the packets using bpf

bpf 如何检查系统调用 arguments - bpf how to inspect syscall arguments

如何通过 kprobe 将 BPF 程序附加到内核函数？ - How can I attached a BPF program to a kernel function via a kprobe?

未调用 BPF 尾调用 - BPF tail call not called

如何在 ebpf 中使用 seccomp 过滤器？ - How to use seccomp filter with ebpf?

如果我有 bpf_map object，如何使用 bpf_object__find_map_by_name(bpf_object,"hash_map") 获取 map fd 和 max extries； ebpf - how to get map fd and max extries if I have bpf_map object by using bpf_object__find_map_by_name(bpf_object,"hash_map"); ebpf

无法编译示例 bpf 程序，缺少 bpf/bpf.h - Can't compile sample bpf program, bpf/bpf.h is missing

双＆符号在 bpf 过滤器中有什么作用？ - What does double ampersand do in bpf filter?

Linux上的经典BPF：过滤器不起作用 - classic BPF on Linux: filter does not work

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如何在Ubuntu上使用Berkeley数据包过滤器（BPF） - How to use berkeley packet filter (BPF) on ubuntu 如何使用 bpf 返回数据包 - How can I return the packets using bpf bpf 如何检查系统调用 arguments - bpf how to inspect syscall arguments 如何通过 kprobe 将 BPF 程序附加到内核函数？ - How can I attached a BPF program to a kernel function via a kprobe? 未调用 BPF 尾调用 - BPF tail call not called 如何在 ebpf 中使用 seccomp 过滤器？ - How to use seccomp filter with ebpf? 如果我有 bpf_map object，如何使用 bpf_object__find_map_by_name(bpf_object,"hash_map") 获取 map fd 和 max extries； ebpf - how to get map fd and max extries if I have bpf_map object by using bpf_object__find_map_by_name(bpf_object,"hash_map"); ebpf 无法编译示例 bpf 程序，缺少 bpf/bpf.h - Can't compile sample bpf program, bpf/bpf.h is missing 双＆符号在 bpf 过滤器中有什么作用？ - What does double ampersand do in bpf filter? Linux上的经典BPF：过滤器不起作用 - classic BPF on Linux: filter does not work

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM