Перехват sys_execve()

0

1

В общем, нужно запретить запуск некоторых процессов, которые занесены в черный список. Нашел 2 варианта:

Цеплять к каждому процессу ptrace.
Подменить sys_execve().

Решил реализовать второй вариант, т.к. первый показался мне уж слишком ужасным.

В общем, реализовал некий LKM, который находил адрес таблицы системных вызовов и подменял там адрес sys_execve() на адрес моей функции (которая вызывала системную функцию для разрешенных процессов или выходила бы, если процесс в списке запрещенных). Так вот, сначала проверил модуль на вызове sys_open() и все нормально заработало. Я обрадовался, однако моя радость продлилась недолго, ибо когда я подменил sys_execve() и внутри своей функции просто выводил первый аргумент (путь и имя бинарника) и запускал стандартный обработчик - комп ребутнулся. После того как я убрал вывод в консоль, просто перестали запускаться процессы. Ну и вот сегодня я прочел, что с подменой именно этого системного вызова не все так просто, однако дальнейшие поиски ничего не дали, поэтому я обратился сюда. Думаю, приводить мой код нет смысла, т.к. проблема явно не в реализации.

Версия ядра - 3.11

Буду благодарен хоть за какие-то подсказки.

Перемещено beastie из security

Ссылка

←	C++11 templated for-cycle

SED

→

Не надо ничего перехватывать, используй Linux Security Modules. Вот https://bitbucket.org/vleschuk/exec_monitor тут я решил твою задачу. Конкретно смотри на exec_hook() в exec_monitor.c.

~~DELIRIUM~~ ☆☆☆☆☆
(18.10.15 23:54:18 MSK)
Последнее исправление: DELIRIUM 18.10.15 23:57:00 MSK (всего исправлений: 1)

Ответ на: комментарий от DELIRIUM 18.10.15 23:54:18 MSK

Премного благодарен. Однако у меня тут вопрос. Там используются заголовочные файлы из каталога asm, однако у меня он отсутствует (есть только asm-generic, но когда я что-то из него подключаю - компилятор ругается ошибками). Это нормально?

Mizantrop_LoL
(19.10.15 00:03:35 MSK) автор топика

Подменять системные вызовы - гейство.

Pavval ★★★★★
(19.10.15 00:11:14 MSK)

Ответ на: комментарий от Pavval 19.10.15 00:11:14 MSK

Зачем там сразу злобно? Я с ядром знаком около недели. Ничего умнее не придумал :(

Mizantrop_LoL
(19.10.15 00:13:00 MSK) автор топика

У самсунгов есть особый модуль ядра, который запрещает неподписанные elf бинарники запускать http://opensource.samsung.com/reception/receptionSub.do?method=sub&sub=F&... Там есть код проверки ЭЦП, его можно заменить на код, проверяющий «а не пытаемся ли мы запрещенный бинарник загрузить».

Там код есть, который таблицу системных вызовов находит, и по всей видимости патчит там что-то

SZT ★★★★★
(19.10.15 00:19:43 MSK)
Последнее исправление: SZT 19.10.15 00:21:56 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от Mizantrop_LoL 19.10.15 00:03:35 MSK

Ничего не понял, давай код и выхлоп компилятора.

ЗЫ Тестовое задание делаешь? =)

~~DELIRIUM~~ ☆☆☆☆☆
(19.10.15 00:21:49 MSK)

Ответ на: комментарий от Mizantrop_LoL 19.10.15 00:13:00 MSK

Зачем там сразу злобно?

Первый раз на ЛОРе, да? Привыкай :)

Pavval ★★★★★
(19.10.15 00:27:20 MSK)

Ответ на: комментарий от DELIRIUM 19.10.15 00:21:49 MSK

Я сейчас только одним глазком посмотрел и ничего не переписывал у себя. Просто до этого, когда пытался подключить (если не ошибаюсь) asm/unistd.h (который подключал как asm-generic/unistd.h) - оно ругалось, что не может найти остальные инклуды, в которых была опять таки папка asm, которой у меня нету. Вот оно и ругалось) В общем, от кода толку не будет (потому что сейчас там этого инклуда нету) и выхлопа, соответсвенно, нету.

Да, делаю что-то типа тестового задания (прохожу курсы и заодно проект делаю). Само задание - написать файрволл, который блокирует процессы из черного списка. Что, настолько типичное задание?)

Mizantrop_LoL
(19.10.15 00:28:12 MSK) автор топика

Ответ на: комментарий от Pavval 19.10.15 00:27:20 MSK

До этого только читал, когда гуглил что-то)

Mizantrop_LoL
(19.10.15 00:28:59 MSK) автор топика

Ссылка

Это рассматривали? https://sourceware.org/systemtap/

~~gh0stwizard~~ ★★★★★
(19.10.15 00:30:58 MSK)

Ответ на: комментарий от gh0stwizard 19.10.15 00:30:58 MSK

Если я правильно понял - они производят приложения для всяких гразных делишек с ядром (или я ошибся? А то мой английский оставляет желать лучшего), а мне надо написать свой велосипед)

Mizantrop_LoL
(19.10.15 00:33:38 MSK) автор топика

Ссылка

Ответ на: комментарий от Mizantrop_LoL 19.10.15 00:28:12 MSK

Что, настолько типичное задание?)

Senior Developer,Team Lead, С/C++ Unix,требуется (комментарий)

В этом же топике вроде было кстати писькомерство по решению этого задания, так что можешь ещё там поискать примеры кода (но своё я там, ЕМНИП, не выкладывал).

~~DELIRIUM~~ ☆☆☆☆☆
(19.10.15 00:34:34 MSK)
Последнее исправление: DELIRIUM 19.10.15 00:36:43 MSK (всего исправлений: 2)

Ответ на: комментарий от DELIRIUM 19.10.15 00:34:34 MSK

Спасибо, посмотрю на досуге) Весьма приятно удивлен, как быстро здесь отозвались)

Mizantrop_LoL
(19.10.15 00:41:40 MSK) автор топика

Прав доступа к файлам достаточно.

Krieger_Od ★★
(19.10.15 10:50:26 MSK)

Ссылка

Ответ на: комментарий от Mizantrop_LoL 19.10.15 00:41:40 MSK

Секрет в подписке на тэги.
А вообще, вот тебе бесплатно классический совет: изучение IT нужно изучать с английского.

yurikoles ★★★
(19.10.15 17:00:41 MSK)

Ссылка

Ответ на: комментарий от DELIRIUM 19.10.15 00:34:34 MSK

В общем, в том топике кроме срача ничего не нашел. Попробовал тот способ, который у тебя, однако у меня не находит структуру security_operations. Ну и как я узнал, ядро можно собрать и без LSМ, поэтому такой вариант тоже не канает, к сожалению :(. Есть еще какие-то способы?

Mizantrop_LoL
(20.10.15 01:29:57 MSK) автор топика

Ответ на: комментарий от Mizantrop_LoL 20.10.15 01:29:57 MSK

Ядро можно собрать без поддержки запуска любых исполняемых файлов, разделения прав пользователей, всех фс, любых видов сети, etc. Приятных снов.

anonymous
(20.10.15 01:46:35 MSK)

Ссылка

Ответ на: комментарий от Mizantrop_LoL 20.10.15 01:29:57 MSK

Конечно, не находит, она не экспортируется ядром. Ты посмотри на файлы рядом: probe.c, например. Там probe.c и probe.h утащены из проекта AKARI, в них как раз находится функционал по вытаскиванию struct security_operations наружу.

Кароче попробуй собрать мой модуль у себя и проверить, как оно работает.

~~DELIRIUM~~ ☆☆☆☆☆
(20.10.15 09:10:01 MSK)
Последнее исправление: DELIRIUM 20.10.15 09:11:13 MSK (всего исправлений: 1)

Ответ на: комментарий от Mizantrop_LoL 19.10.15 00:28:12 MSK

Само задание - написать файрволл, который блокирует процессы из черного списка.

ох лол. Для твоего тестового задания хватит что-то типа такого

$ touch file
$ chmod -x file
$ sudo chattr +i file
[sudo] password for user:

при попытке сделать файл исполнимым получаем:

$ chmod +x file
chmod: changing permissions of ‘file’: Operation not permitted

reprimand ★★★★★
(20.10.15 09:23:03 MSK)

А почему бы не использовать SELinux ?

Jetty ★★★★★
(20.10.15 13:38:51 MSK)

Ссылка

Ответ на: комментарий от DELIRIUM 20.10.15 09:10:01 MSK

Обижаешь :( Я, ведь, само собой, уже погуглил, что такое LSM и просмотрел частично, как работает твой модуль. А точнее, посмотрел, что да как оно подменяет, нашел ту функцию, которая ищет структуру, скопировал ее себе, чисто чтобы протестировать, найдет ли у меня что-то, однако у меня она вернула NULL.

Mizantrop_LoL
(20.10.15 16:24:55 MSK) автор топика

Ссылка

Ответ на: комментарий от reprimand 20.10.15 09:23:03 MSK

Да, я, само собой, думал про простое запрещение прав доступа. Однако, если я не ошибаюсь, от имени рута все равно можно запускать что угодно.

Ну и если даже не от имени рута, то вызовом fork()+exec(), я полагаю, все равно можно будет запустить процесс.

В любом случае, надо запилить это дело в виде модуля ядра.

Mizantrop_LoL
(20.10.15 16:26:47 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	C++11 templated for-cycle

Development

SED

→

Похожие темы