Как перехватить сигнал дочернего процесса не используя ptrace?

capabilities, ptrace, signal, signal processing, signals

0

1

Передо мной стоит задача: Ловить сигнал SIGXCPU потомка, который запускает мой процесс, я для этого использовал ptrace, однако столкнулся с проблемой: При выполнении execve вместе с ptrace capabilities дочернего процесса обнуляются. А они ему тоже нужны.

Вот мой пост с описанием проблемы: Проблема с capabilities и exec (комментарий)

Как всё таки перехватить SIGXCPU потомка так, чтобы ничего не ломалось?

←	Выпадающее многоуровневое меню на css

Vim выделенный текст в ИНТЕРПРЕТАТОР и обратно в Vim

→

потомок нельзя изменить?

anonymous2 ★★★★★
(05.03.25 13:33:37 MSK)

Скорее всего никак. Суть в том же: у него повышенные привилегии, а ты хочешь извне как-то подменить часть его работы (обработку сигнала). Что, теоретически, может использоваться для какого-нить эксплойта. Допиши в потомка обработку этого сигнала и чтоб он родителя сам оповещал об этом.

Ну либо родителя запускай как рута, но это испортит твои планы на безопасность я так понимаю.

firkax ★★★★★
(05.03.25 15:45:25 MSK)

Ответ на: комментарий от anonymous2 05.03.25 13:33:37 MSK

Если вы говорите об изменении состояния процесса, его регистров при трассировке, то нам это и не нужно.

Нужно лишь ловить его сигнал.

OlegUP
(06.03.25 09:47:05 MSK) автор топика

Ответ на: комментарий от OlegUP 06.03.25 09:47:05 MSK

я про это

Допиши в потомка обработку этого сигнала и чтоб он родителя сам оповещал об этом.

либо в родителе жди waitpid + WIFSIGNALED + WTERMSIG

anonymous2 ★★★★★
(06.03.25 13:39:59 MSK)
Последнее исправление: anonymous2 06.03.25 13:41:22 MSK (всего исправлений: 1)

Ответ на: комментарий от anonymous2 06.03.25 13:39:59 MSK

SIGXCPU не останавливает процесс, waitpid тут бесполезен.

OlegUP
(06.03.25 14:07:38 MSK) автор топика

Ответ на: комментарий от OlegUP 06.03.25 14:07:38 MSK

да посмотрел, по таблице сигналов для SIGXCPU действие core

anonymous2 ★★★★★
(06.03.25 14:44:02 MSK)
Последнее исправление: anonymous2 06.03.25 14:44:49 MSK (всего исправлений: 1)

Догуглился + дочитался исходников до такой вещи как LSM (Linux Security Modules Framework)

Есть прога, которая с ним работает, и судя по документации можно настраивать поведение ядра в политике безопасности через хуки)

Вот пример из программы lsmtrace: https://github.com/lumontec/lsmtrace/tree/master

SEC("lsm/bprm_creds_from_file")
int BPF_PROG(bprm_creds_from_file, struct linux_binprm *bprm, struct file *file)
{
	FILTER_CATHEGORY_INT(PROG_EXEC_CATH)
	FILTER_OWN_PID_INT()
	DUMP_FUNC(bprm_creds_from_file, struct linux_binprm *bprm, struct file *file)

	DUMP_LINUX_BINPRM_STRUCT(bprm)
	DUMP_FILE_STRUCT(file)

	bpf_printk("lsm_hook: exec: bprm_creds_from_file\n");
	return 0;
}

Пока копаю в эту сторону, видимо этот хук и нужен.

Что можете сказать по этому поводу?

OlegUP
(06.03.25 15:00:31 MSK) автор топика

Ответ на: комментарий от OlegUP 06.03.25 15:00:31 MSK

ЕМНИП, LSM - это про файлы, сокеты, м.б. шареная память, но не про сигналы.

seiken ★★★★★
(06.03.25 15:17:07 MSK)

Ответ на: комментарий от seiken 06.03.25 15:17:07 MSK

Было бы так просто, врядли начальство одобрит вшивать эти модули в ядро, а по другому нельзя.

а так да, можно и их заюзать, если готовы потратить время на написание LSM модуля и есть возможность добавить это в ядро.

OlegUP
(06.03.25 15:40:42 MSK) автор топика
Последнее исправление: OlegUP 06.03.25 15:43:14 MSK (всего исправлений: 2)

Ответ на: комментарий от seiken 06.03.25 15:17:07 MSK

Задумка была такой: Перед непосредственным вызовом exec в ядре вызвать хук LSM, который даст нужные capabilities создаваемому процессу.

OlegUP
(06.03.25 15:42:17 MSK) автор топика

←	Выпадающее многоуровневое меню на css

Development

Vim выделенный текст в ИНТЕРПРЕТАТОР и обратно в Vim

→

Похожие темы