我正在寻找一个编写seccomp过滤器的eBPF示例,但我找不到一个。谁能告诉我是否可以使用eBPF来编写seccomp filter?
浏览 39提问于2019-08-29得票数 6
回答已采纳
如果我最初理解得很好,cBPF验证器和解释器都在net/core/fiter.c中,例如,sk_run_filter这里,只是转换cBPF指令,将它们应用于模拟寄存器和直接应用于sk_buff。而sk_chk_filter检查这些指令是否合法。
目前,我已经看到filter.c中仍然存在一个bpf_check_classic函数,它替代了旧的sk_chk_filter。在检查之后,将尝试对程序进行JIT,如果不可能,下一步是将cBPF转换为eBPF。
浏览 0提问于2019-09-07得票数 0
回答已采纳
1回答
当通过使用seccomp通知( SECCOMP_RET_USER_NOTIF )时,我发现PID作为seccomp_notif结构的一部分对于某些筛选决策非常有用。在ebpf过滤器中,可以使用助手函数(如bpf_get_current_pid_tgid() )来获取此类信息。但由于seccomp似乎只支持经典的BPF,我想知道是否还有其他方法。据我所知,在seccomp过滤器中,只能访问se
浏览 5提问于2020-12-21得票数 1
回答已采纳
1回答
如何停止使用Ebpf打开文件?
、、、、
我想使用EBPF并在打开的syscall上放置一个探针,这样当用户想要打开某个文件时,我会检查它的名称,如果它是目标名称,我将阻止它打开。唯一的问题是我不知道如何真正实现这个目标。
浏览 0提问于2020-02-09得票数 1
4回答
为了模拟某些行为,我希望将一个探测附加到syscall,并在传递某些参数时修改返回值。或者,在函数参数成为进程之前修改它们也就足够了。
浏览 58提问于2017-03-24得票数 18
回答已采纳
1回答
如何使用BPF过滤内核函数参数?
、、、、
如何使用伯克利包过滤器(BPF)过滤内核中的函数参数?该函数应该是任何非内联函数,而不仅仅是系统调用。另外,函数参数中的指针可以取消引用以进行验证。eBPF和k探针/j探针似乎是集成在一起来实现挂钩的。但我在网上找不到一个好的例子。
浏览 3提问于2016-07-30得票数 6
回答已采纳
1回答
我正在使用seccomp,需要将跳转语句的跳转值(jt/jf/k) (条件跳转/跳转始终)设置为存储在累加器中的值。这个是可能的吗?我有预感它不是,因为BPF验证器无法在加载过滤器之前检查跳转值。struct sock_filter filter = BPF_STMT(BPF_LD | BPF_W | BPF_ABS, offsetof(struct seccomp_data,我对BPF的了解也相当初级,而且只属于seccomp</
浏览 5提问于2021-07-23得票数 0
回答已采纳
() can be triggeredstatic void install_accept_all_seccomp(void) struct sock_filter filter[.len = (unsigned short)(sizeof(filter)/sizeof(filter[0])), };
浏览 16提问于2022-01-24得票数 2
1回答
对BPF的理解
、、
当我需要使用tcpdump捕获一些数据包时,我使用如下命令:我一直认为dst主机192.168.1.0部分叫做BPF,Berkeley
浏览 0提问于2022-04-18得票数 8
回答已采纳
1回答
我是eBPF的新手,有很多教程说eBPF只是扩展的BPF,但我不明白extended是什么意思?那么,BPF和eBPF之间有什么区别呢?这些示例是否驻留在Linux源文件[root]/samples/bpf eBPF示例中,还是仅仅驻留在BPF中?
浏览 6提问于2022-05-19得票数 1
1回答
我想在linux服务器中启动不受信任的计算专用可执行文件。除了stdin和stdout之外,进程将无法访问系统和文件。此外,我还想限制RAM和CPU时间的使用,以避免DOS
浏览 0提问于2017-11-12得票数 1
回答已采纳
1回答
seccomp如何过滤系统?
、、、、
我正在研究seccomp的实现细节,这是自3.5版以来引入Linux的syscall过滤机制。我查看了Linux3.10中内核/seccomp.c的源代码,并想问一些关于它的问题。但是,查看seccomp_run_filters(),作为参数传递的syscall数字在任何地方都不使用。sk_run_filter()似乎是BPF过滤器机器的实现,但是sk_run_filter()是从seccomp_run_filters()调用的,其中带有第一
浏览 7提问于2013-11-07得票数 8
回答已采纳
无法使用JSON启动带有自定义seccomp配置文件的docker容器。越来越少的错误。sudo docker run --name=alpin1effcon1t -it 453135d09376 --security-opt seccomp:chrome.json我们已经在各种码头平台上尝试过这一点,如Desktop、docker游乐场和基于AmazonEC2上的码头信息
grep
浏览 17提问于2022-01-04得票数 0
回答已采纳
1回答
我正在运行密件抄送示例,其中有一条注释解释: eBPF program.Filter IP and TCP packets, having payload not empty if the program is loaded as PROG_TYPE_SOCKET_FILTER
and attached to a soc
浏览 9提问于2020-01-07得票数 0
我还使用sudo apt-get install命令安装了vsftp。然后重新启动ftp服务器,但是它拒绝所有的连接,因为这个错误,500 OOPS: prctl PR_SET_SECCOMP failed,请看这里。aysael@srv:~$ sudo ftpConnected to 127.0.0.1.seccomp_sand
浏览 0提问于2015-05-29得票数 1
回答已采纳
我最近正在用libcap和libseccomp编写程序,我注意到在一起使用它们时出现了一个问题。在下面的最小可重现性示例中,我首先将当前流程的能力设置为P(inheritable) = CAP_NET_RAW,并清除了其他功能集。; perror("cap_set_proc"); cap_free(caps);
"--print",
浏览 5提问于2020-07-16得票数 3
回答已采纳
为了实现疑难解答问题,我在内核配置设置中查找:CONFIG_SECCOMP、CONFIG_HAVE_ARCH_SECCOMP_FILTER和CONFIG_SECCOMP_FILTER。第一个文件以:CONFIG_SECCOMP=y的形式出现在内核的配置文件中,但其他两个文件根本不存在。这让我想知道如何解释..。应该将内核配置中缺少的设置解释为<setting>=n还是使用defaults?
浏览 0提问于2016-08-24得票数 6
回答已采纳
1回答
我想学习linux,如果我编写了一个ebpf程序test.c,使用了llvm:
clang -O2 -target bpf -o test.o test.c.如何在经典bpf中获得像tcpdump -d这样的ebpf程序集,谢谢。
浏览 2提问于2016-10-12得票数 10
1回答
我已经看到用户空间版本的ebpf (运行时、汇编程序、dissasembler)正在开发(,)。
为什么有一个用户空间版本的eBPF有趣?这些替代方案是否与eBPF程序类型(网络、可观察性和安全性)的目标相同?
浏览 3提问于2021-01-26得票数 5
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
腾讯会议
云直播
对象存储活动推荐
腾讯云开发者
