如何禁用针对Linux进程的套接字创建?

前端之家收集整理的这篇文章主要介绍了如何禁用针对Linux进程的套接字创建?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在考虑几个沙盒化 Linux选项.使用clone()与CLONE_NEWNET(等)是选项之一. CLONE_NEWNET确保沙盒进程无法建立或接受真正的网络连接.但是我想完全禁用这个进程的套接字,甚至绑定()到0.0.0.0上的任何端口,并绑定到Unix doman套接字(甚至匿名).我想这样做,以防止进程通过绑定到数千个端口使用太多的内核资源.我怎么做?

一般来说,我对许多沙盒方法感兴趣(即由Linux内核提供的那些方法和由ptrace()强制执行的方法),但在这个问题中,我只对沙盒方法套接字创建方面感兴趣(所以如果你建议使用沙盒方法,还请解释如何使用它来阻止套接字创建),而对于需要内核补丁或涉及加载不属于Ubuntu Lucid默认二进制内核软件包的内核模块的方法,我并不感兴趣这将影响系统上的每个进程.

解决方法

ptrace似乎是最明显的工具,但除此之外…

util-linux [-ng]有一个命令unshare,它使用内核的clone/unshare接口.如果您通过unshare -n(或克隆(CLONE_NEWNET))运行新进程,则其创建的任何网络套接字都在不同的命名空间中.这不能解决内核资源问题,但是它会将进程沙箱化.

Linux内核还支持seccomp,一种使用prctl(PR_SET_SECCOMP,1)输入的模式,它阻止进程(以及线程,真的)调用除read,write,exit和sigreturn之外的任何系统调用.这是一个非常有效的沙箱,但很难使用未修改代码.

您可以定义一个不允许socket / bind / etc的SELinux域.调用并执行到该类型的动态转换.这(显然)需要一个具有积极执行SELinux策略的系统. (可能与AppArmor和TOMOYO类似的东西是可能的,但我不太熟悉任何一个.)

猜你在找的Linux相关文章