皮振伟的专栏-腾讯云开发者社区

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

皮振伟的专栏

专栏成员

108

文章

312639

阅读量

79

订阅数

[Linux][seccomp]seccomp引起的SIGSYS问题

虚拟化命令行工具编程算法 shell

前言作者习惯使用Libvrit，多数情况下，会直接使用libvirt进行虚拟机操作。如果要用qemu启动的情况，一般会比较习惯ps -ef | grep qemu得到qemu的启动参数，进行修改，然后启动。在一次启动中，qemu发生了错误：qemu-system-x86_64: network script /etc/qemu-ifup failed with status 159 问题的原因是因为seccomp的配置导致的，那么我们就来看一下这个问题的具体表现。分析实例代码构造一段实例代码，在父进程中初始化了seccomp，禁用了execve这个syscall，在子进程中尝试调用execve运行其他的程序。 #include <stdio.h> #include <unistd.h> #include <sys/types.h> #include <sys/wait.h> #include <seccomp.h> char *cmd = "/bin/ls"; int main() { int pid, status, ret; char *args[4]; char **parg; scmp_filter_ctx ctx; ctx = seccomp_init(SCMP_ACT_ALLOW); if (ctx == NULL) { printf("seccomp_init fail\n"); return 0; } ret = seccomp_rule_add(ctx, SCMP_ACT_KILL, SCMP_SYS(execve), 0); if (ret < 0) { printf("seccomp_rule_add fail\n"); return 0; } ret = seccomp_load(ctx); if (ret < 0) { printf("seccomp_load fail\n"); return 0; } seccomp_release(ctx); pid = fork(); if (pid == 0) { parg = args; *parg++ = cmd; *parg++ = "-al"; *parg++ = "/proc/self/fd"; *parg = NULL; execv(cmd, args); } else { while (waitpid(pid, &status, 0) != pid); printf("status %d\n", status); } return 0; } 需要先安装libseccomp-dev（apt-get install libseccomp-dev），编译的时候: gcc execv.c -g -o execv -lseccomp 运行可以发现，子进程并不是正常退出的。打开coredump 调整/proc/sys/kernel/core_pattern，配置coredump文件生成的规则。 ulimit -c unlimited调整但前shell的coredump文件大小限制，在当前的shell下运行，文件大小生效。

2019-07-30

2.3K0

没有更多了

社区活动

【纪录片】中国数据库前世今生

穿越半个世纪，探寻中国数据库50年的发展历程

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态