c - 为什么加载seccomp过滤器后，普通用户PING不通

Question

我使用 seccomp 记录 'ping' 使用的系统调用。当我运行它时，它总是注意到

socket: Operation not permitted.

我可以在 bash 中很好地运行 ping，但是在程序中加载 seccomp 过滤器后无法运行。

但如果我以 root 运行相同的程序，它会运行得很好。

这是在具有 4.15.0-54 通用内核的 Ubuntu 18.04 中运行。

我试过用root用户运行程序，然后在child progress中，我用setuid(1000)设置为普通用户，还是不行。

如果我不使用 fork，它仍然会注意到 no premitted。

如果我将 seccomp 默认操作更改为 SCMP_ACT_ALLOW，它仍然无效。

这是一个简单的 C 代码。

#include <stdlib.h>
#include <stdio.h>
#include <unistd.h>
#include <sys/resource.h>
#include <sys/time.h>
#include <signal.h>
#include <seccomp.h>
#include <unistd.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/time.h>
#include <sys/resource.h>
#include <sys/stat.h>
#include <sys/wait.h>

void child() {
        setuid(1000);
        scmp_filter_ctx ctx = seccomp_init(SCMP_ACT_LOG);

        if (seccomp_load(ctx) != 0) {
                printf("SCMP LAOD ERR!");
        } else {
                seccomp_release(ctx);
        }
        execl("/bin/ping", "ping", "-c", "1", "172.16.1.1", NULL);
        printf("EXEC FAIL");
}
int main(){

        int p = fork();
        if (p < 0) {
                printf("Frok ERROR!");
                exit(1);
        }
        if ( p == 0 ) {
                child();
        } else {
                struct rusage usage;
                int status;
                if (wait4(p, &status, WSTOPPED, &usage) == -1) {
                        kill(p, SIGKILL);
                }
        }
}

我使用 gcc main.c -o main.out -lseccomp 来编译它。

英语不是我的第一语言，我对我的语法感到抱歉。

Answer 1

ping 只能作为 root 使用。通常它以 root 身份运行，因为它在其文件权限中设置了 setuid 位:

-rwsr-xr-x 1 root root 44168 May  8  2014 /bin/ping
   ^         ^^^^
   |
this 's' is called 'setuid' and means it wants to run as the user which owns it, which is root

除非你是 root，否则你不能使用 seccomp，或者你设置了 no_new_privs flag .您不是直接使用 seccomp，而是通过一个库。看来图书馆正在为您设置标志。

no_new_privs 标志意味着您不能运行 setuid 程序。好吧，您可以运行它们，但它们不会是 setuid。他们将作为您的用户运行。它没有按照 ping 要求的方式发送特殊数据包的权限。所以 ping 失败，因为它没有 ping 权限。