Làm cách nào để ptrace của Linux không an toàn hoặc chứa điều kiện chủng tộc?

Question

Tôi muốn triển khai hộp cát bằng cách ptrace() nhập một quy trình tôi bắt đầu và tất cả các con của nó sẽ tạo (bao gồm cả cháu, v.v.). Quy trình cha mẹ ptrace(), tức là người giám sát. sẽ là một chương trình C hoặc Python đơn giản, và về khái niệm nó sẽ giới hạn truy cập hệ thống tập tin (dựa trên tên đường dẫn và hướng truy cập (đọc hoặc ghi) và truy cập ổ cắm (ví dụ như không cho phép tạo socket). sao cho quy trình ptrace() d và con của nó (đệ quy) sẽ không thể bỏ qua hộp cát? Có điều gì đặc biệt mà người giám sát nên làm tại thời điểm fork() để tránh điều kiện chủng tộc? Có thể đọc các đối số tên tệp của ví dụ rename() từ quá trình con không có tình trạng đua xe?

Đây là những gì tôi đã lên kế hoạch để làm:

• PTRACE_O_TRACEFORK | PTRACE_O_TRACEVFORK | PTRACE_O_TRACECLONE để tránh (một số) coditions chủng tộc khi fork() ing
• disallow tất cả các hệ thống gọi theo mặc định, và soạn một danh sách trắng của hệ thống cho phép gọi
• chắc chắn rằng *at() biến thể hệ thống cuộc gọi (như openat) là đúng được bảo vệ

Tôi nên chú ý đến điều gì khác?

Answer 1

Vấn đề chính là nhiều đối số syscall, như tên tệp, được chuyển đến hạt nhân dưới dạng con trỏ của người dùng. Bất kỳ tác vụ nào được phép chạy đồng thời và có quyền ghi vào bộ nhớ mà con trỏ trỏ tới có thể sửa đổi hiệu quả các đối số này sau khi chúng được giám sát của bạn kiểm tra và trước khi hạt nhân hoạt động trên chúng. Vào thời điểm hạt nhân đi theo con trỏ, nội dung được trỏ tới có thể đã được thay đổi một cách có chủ ý bởi một tác vụ có thể lập lịch trình (quy trình hoặc luồng) khác có quyền truy cập vào bộ nhớ đó. Ví dụ:

Thread 1       Supervisor    Thread 2 
----------------------------------------------------------------------------------------------------- 
strcpy(filename, "/dev/null"); 
open(filename, O_RDONLY); 
            Check filename - OK 
                  strcpy(filename, "/home/user/.ssh/id_rsa"); 
(in kernel) opens "/home/user/.ssh/id_rsa" 

Một cách để ngăn chặn điều này là để không cho phép gọi clone() với CLONE_VM cờ, và ngoài ra ngăn chặn bất kỳ sự sáng tạo của thể ghi MAP_SHARED ánh xạ bộ nhớ (hoặc ít nhất là theo dõi chúng như vậy mà bạn từ chối bất kỳ syscall cố gắng tham chiếu trực tiếp dữ liệu từ một ánh xạ như vậy). Bạn cũng có thể sao chép bất kỳ đối số nào như vậy vào bộ đệm không bị chia sẻ trước khi cho phép syscall tiếp tục. Điều này sẽ ngăn chặn hiệu quả bất kỳ ứng dụng luồng nào đang chạy trong hộp cát.

Phương án thay thế là SIGSTOP mọi tiến trình khác trong nhóm truy tìm xung quanh mọi syscall nguy hiểm tiềm ẩn, chờ chúng thực sự dừng lại, sau đó cho phép syscall tiến hành. Sau khi nó trở về, bạn sau đó SIGCONT chúng (trừ khi chúng đã bị dừng). Không cần phải nói, điều này có thể có tác động hiệu suất đáng kể.

(Cũng có các vấn đề tương tự với các đối số syscall được truyền trên ngăn xếp và với các bảng tệp mở được chia sẻ).

Answer 2

Không ptrace chỉ nhận được thông báo sau khi thực tế? Tôi không nghĩ rằng bạn có một cơ hội để thực sự ngăn chặn các syscall xảy ra, chỉ để giết nó nhanh như bạn có thể một khi bạn nhìn thấy một cái gì đó "ác".

Dường như bạn đang tìm kiếm nhiều thứ như SELinux hoặc AppArmor, nơi bạn có thể đảm bảo rằng thậm chí không có một cuộc gọi bất hợp pháp nào được thực hiện.