глобальная переменная и fork()

Погрепал 'define FORK' в исходниках :)

касательно трейса..

выполнил. получил другую странность:

clone(child_stack=0, flags=CLONE_PARENT_SETTID|SIGCHLD, parent_tidptr=0x7fff4a3ecd80) = 26735
wait4(26735)

т.е. system() не зовет fork(), а напрямую зовет clone(), как и предположил gv.

но странность заключается в том, что в выводе все равно присутствует вывод из хукового fork():

ctor called!
>>> in function "fork()", before set in_hook=0, pid=26735
before call fork() in_hook=1, pid=26735
after call fork() in_hook=1, pid=26735
after call fork() in_hook=1, pid=26736
>>> in function "execve()", before set in_hook=0, pid=26736
before call execve() in_hook=1, pid=26736
ctor called!

ИМХО после форка нулевой in_hook - в новой копии библиотеки.

Надо проверять, но лень :)

но кто его вызывает? clone()?

Может шел, который запускает system?

system() не зовет fork(), а напрямую зовет clone()

Думаю, что системный вызов fork давно не используется :)

но странность заключается в том, что в выводе все равно присутствует вывод из хукового fork():

А вот библиотечная функция fork должна быть.

ах да, там же sh запускается %)

я думаю это немного прояснит ситуацию:

#ifndef _GNU_SOURCE
#       define _GNU_SOURCE (1)
#endif

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <dlfcn.h>

void *_system = 0;
void *_fork = 0;
void *_execve = 0;

char *name[] = {
        [0] = "init (0)",
        [1] = "system set (1)",
        [2] = "system release (0)",
        [3] = "fork set (1)",
        [4] = "fork child release (0)",
        [5] = "fork parent release (0)",
        [6] = "execve set (1)",
        /* there is no execve release */
};

volatile int in_hook = 0;

void __attribute__ ((constructor)) my_init(void) {
        fprintf(stderr, ">>> %s\n", __func__);
        in_hook = 0;
        _system = dlsym(RTLD_NEXT, "system");
        _fork          = dlsym(RTLD_NEXT, "fork");
        _execve = dlsym(RTLD_NEXT, "execve");
        if ( !_system || !_fork || !_execve ) {
                fprintf(stderr, "dlsym() failed. terminate.\n");
                exit(1);
        }
        fprintf(stderr, "<<< %s\n", __func__);
}

int system(const char *cmd) {
        fprintf(stderr, ">>> %s\n", __func__);
        fprintf(stderr, "\tbefore set in_hook = %s\n", name[in_hook]);
        in_hook = 1;
        fprintf(stderr, "\tbefore call system() in_hook = %s\n", name[in_hook]);
        int rc = ((typeof(&system))_system)(cmd);
        fprintf(stderr, "\tafter call system() in_hook = %s\n", name[in_hook]);
        in_hook = 2;
        fprintf(stderr, "<<< %s\n", __func__);
        return rc;
}

pid_t fork() {
        fprintf(stderr, ">>> %s\n", __func__);
        fprintf(stderr, "\tbefore set in_hook = %s\n", name[in_hook]);
        in_hook = 3;
        fprintf(stderr, "\tbefore call fork() in_hook = %s\n", name[in_hook]);
        pid_t rc = ((typeof(&fork))_fork)();
        fprintf(stderr, "\tafter call fork() in_hook = %s\n", name[in_hook]);
        switch (rc) {
        case 0: /* child */
                in_hook = 4;
                break;
        default:
                in_hook = 5;
                break;
        }
        fprintf(stderr, "<<< %s\n", __func__);
        return rc;
}

int execve(const char *filename, char *const argv[], char *const envp[]) {
        fprintf(stderr, ">>> %s\n", __func__);
        fprintf(stderr, "\tbefore set in_hook = %s\n", name[in_hook]);
        in_hook = 6;
        fprintf(stderr, "\tbefore call execve() in_hook = %s\n", name[in_hook]);
        int rc = ((typeof(&execve))_execve)(filename, argv, envp);
        /* NOTREACHED */
        return rc;
}

output:

$ env LD_LIBRARY_PATH=. ./main 
>>> my_init
<<< my_init
>>> system
        before set in_hook = init (0)
        before call system() in_hook = system set (1)
>>> fork
        before set in_hook = system set (1)
        before call fork() in_hook = fork set (1)
        after call fork() in_hook = fork set (1)
<<< fork
        after call fork() in_hook = fork set (1)
<<< fork
>>> execve
        before set in_hook = fork child release (0)
        before call execve() in_hook = execve set (1)
total 192
# ---8<--- output stripped
        after call system() in_hook = fork parent release (0)
<<< system
system(): Undefined error: 0

библиотечная функция fork должна быть.

зачем? и где ее искать?

ладно, в список рассылки glibc я напишу, но хотелось бы услышать мнение участвующих в теме о том, какими другими способами я могу разрешать/запрещать использование system()/fork()/execve()/clone() ?

сейчас, реализована большая часть хуков(а не только для сабжевых. но проблема возникла только с сабжевыми) и вся инфраструктура политик/мониторинга/учета. не хотелось бы все это выкидывать на помойку...

я немогу «железно» запретить использование этих функций. мне нужно разрешать/запрещать их для разных пользователей.

какие будут идеи?

зы: от systrace отказался, с ним много проблем, и он дико затормаживает программы.

библиотечная функция fork должна быть.

зачем?

POSIX

и где ее искать?

В libc

какими другими способами я могу разрешать/запрещать использование system()/fork()/execve()/clone() ?

Тебе нужно точно выяснить, как реализованы перехватываемые функции.

от systrace отказался, с ним много проблем

Почему не использовать SELinux/SMACK/AppArmor? Ты понимаешь, что техника «напишем врапперы» - это профанация с точки зрения безопасности?

В libc

в libc, все что я нашел касательно форка для posix, так это только заглушку устанавливающую errno в ENOSYS: http://code.metager.de/source/xref/glibc/posix/fork.c

Тебе нужно точно выяснить, как реализованы перехватываемые функции.

я и пытаюсь. тупик случился с форком, точнее с клоном %)

Почему не использовать SELinux/SMACK/AppArmor?

я не админ, я программист. админские дела мне даются в разы тяжелее чем что-то закодить. я уверен, что изучение/настройка чего-либо из перечисленного, у меня бы заняло много больше времени, чем реализация «как я понимаю».

техника «напишем врапперы» - это профанация с точки зрения безопасности?

да, есть такое понимание. но в моей задаче, юзер выполняет программы через очень урезанный интерфейс. у него нет возможности отойти вправо или влево, и, как следствие, обойти такой самопальный хук он не сможет.

немогу осилить этот вывод(время позднее сказывается). подскажите, что из него нужно понять?

в libc, все что я нашел касательно форка для posix

Кхм.

 
    42: 0009ae20   688 FUNC    GLOBAL DEFAULT   12 __libc_fork@@GLIBC_PRIVATE
    83: 0009ae20   688 FUNC    GLOBAL DEFAULT   12 __fork@@GLIBC_2.0
   431: 0009ae20   688 FUNC    WEAK   DEFAULT   12 fork@@GLIBC_2.0
  1833: 0009b0d0    81 FUNC    WEAK   DEFAULT   12 vfork@@GLIBC_2.0
  2137: 0009b0d0    81 FUNC    GLOBAL DEFAULT   12 __vfork@@GLIBC_2.1.2

юзер выполняет программы через очень урезанный интерфейс

Если у него есть доступ к компилятору или возможность выполнять свой код, он может обойти твои ограничения.

AppArmor

а оно уже входит в состав ядра? или все еще самому нужно патчить/собирать?

деталированная подсказка, что где кем выставляется. на линукс (debian) воспроизвести к сожалению не могу (ни fork, ни execve почемуто не всплывают), но думаю, что таким образом расписанный код может помочь осмыслить проблему.

Кхм.

я в исходниках искал.

Если у него есть доступ к компилятору или возможность выполнять свой код, он может обойти твои ограничения.

в теории - да. но думаю не каждый юзер способен на такое. другим такое может быть не интересно)

в частности видно, что флаг снимается уже родительским fork'ом перед возвращением к system. у ребёнка же флаг менять смысла нет, т.к. он всё равно не вернётся.

итого решение проблемы — не бинарный флаг (0/1), а конечный автомат: system (0 → 1), fork (ребёнок: если 1 → 2, родитель: 1 → 0), execve (если 2, то выполнить).

при этом стоит учесть, что этот путь исполнения только один из возможных (clone???, vfork @ obsd, etc.)

какие будут идеи?

Написать свою реализацию system().
Либо воспроизвести в своем коде поведение версии из glibc, чтобы понять, в чем дело.

я не админ, я программист. админские дела мне даются в разы тяжелее чем что-то закодить. я уверен, что изучение/настройка чего-либо из перечисленного, у меня бы заняло много больше времени, чем реализация «как я понимаю».

ИМХО, зря, и правильно в треде предлагают воспользоваться существующими решениями. Лень - главная добродетель программиста :)

а нельзя ли в данном случае заюзать какую-то shared-memory ?

Если у него есть доступ к компилятору или возможность выполнять свой код, он может обойти твои ограничения.

в теории - да. но думаю не каждый юзер способен на такое. другим такое может быть не интересно)

С таким подходом можно просто прикрепить листик бумаги к компьютеру (или в /etc/motd написать) «не ломайте, пожалуйста». Эффект тот же.

мысли вслух: в shared-memory мы можем хранить инфу заспарсенную из политики, и сабжевую переменную in_hook. в конструкторе, мы можем проверять наличие этой самой shared-memory, и таким образом, несколько вызовов конструктора нам не помешают. переменная in_hook тоже перестанет терять свое значение.

получается, что shared-memory поможет с данной ситуации. но скажите, какие новые проблемы можно поиметь?

чисто теоретически, каким бы ты образом сломал такую защиту? приведи пример для system(). подумаем, возможно есть способ этого не допустить...

Если религия позволяет использовать плюсы, разнеси по разным неймспейсам и дергай те функции, которые хочешь использовать

я уверен, что изучение/настройка чего-либо из перечисленного, у меня бы заняло много больше времени, чем реализация «как я понимаю».

apparmor точно с пол пинка даже без док поднимается. Я сейчас посмотрел tomoyo, там тоже полиси простые, хотя толком не разбирался.

В смысле настраивается. На счёт поднимается не знаю.

чисто теоретически, каким бы ты образом сломал такую защиту?

Обойти shared library hooks?... Вызывать системные вызовы напрямую. Не использовать shared libraries.

чисто теоретически, каким бы ты образом сломал такую защиту? приведи пример для system(). подумаем, возможно есть способ этого не допустить...

В реализации system() есть макрос INLINE_SYSCALL - вот и пример :)