我正在编写一个生成子进程的程序。出于安全原因,我想限制这些进程可以做什么。我知道程序外部的安全措施,例如 chroot
或 ulimit
,但我想做的不止于此。我想限制子进程完成的系统调用(例如防止调用 open()
、fork()
等)。有什么办法吗?最理想的情况是,被阻塞的系统调用应该返回一个错误,但如果这不可能,那么终止进程也是好的。
我想这可以用 ptrace()
来完成,但是从手册页来看我真的不明白如何将它用于这个目的。
最佳答案
听起来像SECCOMP_FILTER ,在内核版本 3.5 中添加,就是您所追求的。 libseccomp
library为此功能提供易于使用的 API。
顺便说一句,chroot()
和 setrlimit()
都是可以在您的程序中调用的系统调用 - 您可能想要使用其中之一或两者这些除了 seccomp 过滤。
关于c - 阻止进程执行某些系统调用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13343058/