欢迎关注我👆,收藏下次不迷路┗|`O′|┛ 嗷~~
👇热门内容👇
python使用案例与应用_安城安的博客-CSDN博客
软硬件教学_安城安的博客-CSDN博客
Orbslam3&Vinsfusion_安城安的博客-CSDN博客
网络安全_安城安的博客-CSDN博客
教程_安城安的博客-CSDN博客
python办公自动化_安城安的博客-CSDN博客
新书购买《Python实用小工具开发教程》
http://www.pythontoolsteach.com/3
目录
一.引言
二.完整代码
三.代码分析
1. 版权和许可证信息(1-27行)
2. 调试功能控制(29-51行)
3. 条件编译和头文件包含(53-100行)
4. 架构和常量定义(102-137行)
字节序处理
BPF帮助宏
5. 预认证阶段的系统调用过滤器(139-257行)
初始检查
加载系统调用号
拒绝的系统调用(返回EACCES)
允许的系统调用
特殊处理
默认规则
6. 沙箱结构体和初始化(259-280行)
7. 调试支持(282-315行)
8. 子进程设置(317-380行)
资源限制设置
安全设置
9. 父进程函数(382-398行)
关键安全特性总结:
一.引言
这段代码是OpenSSH用于在用户身份验证前限制子进程权限的Linux seccomp沙箱实现,它通过BPF过滤器只允许预认证必需的最小系统调用集(如内存操作、进程退出、时间获取等),同时拒绝可能泄露信息的文件系统调用,并结合资源限制和NO_NEW_PRIVS机制,防止即使存在漏洞时攻击者也能执行特权操作或逃逸沙箱。
二.完整代码
/* * Copyright (c) 2012 Will Drewry <wad@dataspill.org> * * Permission to use, copy, modify, and distribute this software for any * purpose with or without fee is hereby granted, provided that the above * copyright notice and this permission notice appear in all copies. * * THE SOFTWARE IS PROVIDED
)
)