🌕 Linux 沙盒與 Fil-C 整合:實現記憶體安全與系統隔離
➤ 無縫整合記憶體安全與 Linux 沙盒機制
✤ https://fil-c.org/seccomp
本文探討如何結合 Fil-C 的記憶體安全特性與 Linux 的 seccomp 沙盒機制,以提升系統程式的安全性。文章以 OpenSSH 的 seccomp 沙盒為例,說明瞭如何在 Fil-C 環境中實現傳統 Linux 沙盒技術,並解決了 Fil-C 運行時線程管理與 seccomp 過濾器不兼容的挑戰,最終達成更嚴謹的系統隔離與安全防護。
+ 這篇文章解釋得很清楚,終於理解了沙盒和記憶體安全為何是正交的概念,並且看到了 Fil-C 如何克服傳統沙盒的限制。
+ 將 seccomp 應用於 Fil-C 很有啟發性,特別是處理運行時線程的部分,解決了一個潛在的安全隱憂。
#Linux #沙盒 #記憶體安全 #Fil-C #seccomp
#seccomp
I have developed mping-sender over the last few days. It is a simple program that sends a UDP packet to a (freely selectable) multicast address every second. It is therefore well suited for testing multicast. It is partially compatible with the mping client.
Furthermore, it is protected by landlock, seccomp, libcap-ng, AppArmor, and systemd.
Source code: https://codeberg.org/mark22k/mping-sender
#Networking #Programming #dn42 #Multicast #landlock #AppArmor #libseccomp #seccomp #systemd #libcapng
crazytrace, my network simulation program that generates a crazy topology behind a TAP device to test traceroute implementations, now has an apparmor profile.
Furthermore, I have now implemented capability dropping with libcap-ng, landlock sandboxing (via a blacklist), and seccomp sandboxing (via a blacklist).
https://codeberg.org/mark22k/crazytrace/src/commit/c5eb9eaf8b12266ecad3c3d1e0cd5388f351cc72/apparmor/usr.bin.crazytrace
https://codeberg.org/mark22k/crazytrace/src/commit/c5eb9eaf8b12266ecad3c3d1e0cd5388f351cc72/src/main.cpp
#crazytrace #traceroute #Networking #Programming #Security #apparmor #libcap #libcapng #landlock #seccomp
[Перевод] Как защитить Kubernetes на уровне ядра Linux
Как защитить Kubernetes, если злоумышленник попытается выбраться из контейнера на хост? Рафаэль Натали предлагает многоуровневый подход: настройка Security Context, отказ от лишних прав, запуск контейнеров без root-доступа, а также усиление защиты с помощью AppArmor и seccomp.
https://habr.com/ru/companies/flant/articles/952012/
#security_contexts #apparmor #seccomp #kubernetes #noroot_containers #linux_namespace #runAsUser #безопасность_kubernetes #linux
Строим лабораторию по исследованию вирусов с eBPF и другими
Хабр, всем привет! Когда инфраструктура созрела до состояния персика и уже пора расширять классический SOC или вам всегда было интересно, как работает ВПО, то необходимо переходить к Threat Intelligence! Сегодня мы соберем свою лабу по исследованию вирусни/инструментов и процедур(PoC) в виртуальной среде для Linux-платформ.
https://habr.com/ru/companies/serverspace/articles/944614/
#linux #вирус #песочница #sandbox #ebpf #seccomp #podman #виртуализация #tcpdump #iptables
Строим лабораторию по исследованию ВПО
Хабр, всем привет! Когда инфраструктура созрела до состояния персика и уже пора расширять классический SOC или вам всегда было интересно, как работает ВПО, то пора переходить к Threat Intelligence! Сегодня мы соберем свою лабу по исследованию вирусни/инструментов и процедур(PoC) в виртуальной среде для Linux-платформ. Материал пригодиться, для понимания работы ВПО, написания митигации и детекции против них, а так же поиска паттернов в вашей инфраструктуре! На выходе мы получим список из артефактов, которые сможем использовать в работе.
https://habr.com/ru/companies/serverspace/articles/944056/
#linux #вирусы #песочница #sandbox #ebpf #seccomp #podman #виртуализация #tcpdump #iptables
🤔 Ever wonder how to escape from a container? Or how security tools know what permissions they have from inside that same container? It's nice to have a great script for #enumeration ... but what does it check for and why does it matter?
Who am I? - Let’s get oriented and figure out what we have in our container. (https://some-natalie.dev/container-escapes-whoami/)
Our shared kernel - #Containers are processes that share a kernel. What can we see about our host? (https://some-natalie.dev/container-escapes-shared-kernel/)
Are we capable? - What sort of capabilities do we have? (https://some-natalie.dev/container-escapes-capabilities/)
Seccomp is your friend - #Seccomp filters what a container can do. Let’s learn what’s been set for us. (https://some-natalie.dev/container-escapes-seccomp/)
Are we in a microVM? - With #microVM runtimes gaining popularity, how do you know if you’re in a container? (https://some-natalie.dev/blog/microvm-or-container/)
(or, I did a little editing and put my workshop from @appsec_village at #DEFCON33 up) :heart_cybre:
Reliable System Call Interception
Highlights using seccomp_user_notify with BPF for low‑overhead syscall interception, replacing slow ptrace—demoed via “copycat” tool for per‑syscall file redirection.
News from #sydbox: when you configure syd-tor to use a #UNIX domain socket for external #TOR connections which is a new feature it will open an O_PATH fd to the socket, enter into a network+mount+user+... namespace, chroot into /proc/self/fd and access the unix socket using the fd number. This means it will work even if you remove the socket. The socket is duplicated to a random fd to make fd reuse harder. We also apply mdwe, #seccomp and #landlock on top, read more here: https://man.exherbo.org/syd-tor.1.html#SECURITY
Mind to explain why??
The #seccomp filter in #flatpak blocks apps from creating user #namespaces.
#Chromium has a fork server and using #zypak at least works as a workaround.
Firefoxes (current, since a few years) solution is to just use no sandbox, only seccomp-bpf. Chromium doesnt even launch.
О механизмах безопасности OpenSSH: разбираем уязвимости 2024 года
Прошлый год интересно проходил для SSH. Весной — бэкдор в xz-utils (CVE-2024-3094), в результате эксплуатации которого были скомпрометированы системы с systemd. В июле — критически опасная уязвимость «состояния гонки» для систем на базе glibc, получившая название regreSSHion. Спустя еще неделю была опубликована схожая проблема, получившая идентификатор CVE- 2024- 6409. А в августе — еще одна, уже специфичная для FreeBSD, CVE-2024-7589. Как заявляют исследователи, успешная эксплуатация «состояний гонки» позволяет получить RCE (удаленное выполнение кода) на подверженных системах. Более того, regreSSHion — главный баг, ставящий под угрозу безопасность множества SSH-серверов с glibc. Интересно, что эксплуатация уязвимости не требует особой конфигурации сервера (проблема актуальна и для конфигурации по умолчанию). При этом публичного PoC нет до сих пор. Мы решили разобраться в вопросе: так ли страшны эти «состояния гонки», так ли критически опасны? И какие механизмы в sshd призваны не допустить эксплуатации этой уязвимости или хотя бы уменьшить ущерб в случае успешной атаки?
https://habr.com/ru/companies/pt/articles/877102/
#openssh #fsop #glibc #rce #seccomp #regression #состояние_гонки #freebsd #github #malloc
I'd like to announce two new libseccomp releases today: libseccomp v2.5.6 which is a minor maintenance release to the v2.5.z release stream, and libseccomp v2.6.0 which is a new feature release for libseccomp. More details in the link below, but libseccomp v2.6.0 adds support for new architectures, transactional filter updates, and more. Give it a try, you'll like it :)
Изоляция процессов и минимизация привилегий: использование Linux namespaces и seccomp
По статистике, каждые 39 секунд в мире происходит кибератака. Задумайтесь об этом на мгновение. А теперь представьте, что процессы
https://habr.com/ru/companies/selectel/articles/866942/
#selectel #linux #linux_namespace #seccomp #процессы #изоляция_процессов #информационная_безопасность #иб
if #systemd socket activation is not needed, then it uses #seccomp only. When a bind system call is detected, the process is stopped and if the bind address matches a force-bind rule, then the process memory is altered to replace the address given to bind() with a replacement address.
It uses SECCOMP_RET_USER_NOTIF which is only available on recent kernels.
If systemd socket activation is needed, then it uses SECCOMP_IOCTL_NOTIF_ADDFD which is even newer.
if -p flag is specified, then it uses seccomp in combinaison with ptrace and when a bind() system call is detected, then the process is stopped and ptrace is used to alter the process. The system call registers are dumped and if the address bound matches a pattern:
either ptrace is used to replace the address with a replacement address, just like with seccomp, and the bind system call continues
if systemd socket activation is needed for that pattern, then the system call is replaced by the dup2() system call and the return value is altered to return 0 in case of success.
https://github.com/mildred/force-bind-seccomp
The #Kubernetes website features a new #seccomp reference documentation:
https://k8s.io/docs/reference/node/seccomp
Goal of this reference is to explain the API basics of seccomp profiles in Kubernetes and how it maps to the lower level kernel bits. Enjoy! 😊
Interesting research paper comparing #sandboxing features found in #Linux, #OpenBSD and #FreeBSD, respectively #seccomp, pledge/unveil and #Capsicum
https://arxiv.org/abs/2405.06447 by Maysara Alhindi
@op you are mentioned there as gmid was studied :flan_smile:
via @goblin
Announcing #sydbox 3.22.0 with Proxy sandboxing! Introducing syd-tor, a secure SOCKS proxy forwarder, set to 127.0.0.1:9050 by default, perfect for #Tor. Syd-tor features #seccomp filters and #Landlock (if available) for strict confinement, and offers full #async operations with edge-triggered epoll and zero-copy data transfer using splice. #sydbox is a rock-solid user-space #kernel to #sandbox apps on #Linux >=5.19 written in #rustlang: https://is.gd/w9LqZS
Announcing #sydbox 3.20.0 which includes Crypt Sandboxing for transparent #AES-CTR file #encryption and Ghost Mode for enhanced confinement like #Seccomp Level 1. Fixes include proper read-write open sandboxing and #youki updates which fix #podman exec for syd-oci. New utilities: syd-key for AES-CTR keygen, syd-cp for efficient file copying, and syd-aes for {en,de}cryption. #sydbox is a rock-solid user-space #kernel to #sandbox apps on #Linux >=5.19 written in #rustlang: https://is.gd/2tczYu
Client Info
Server: https://mastodon.social
Version: 2025.07
Repository: https://github.com/cyevgeniy/lmst