Leserreporter: Wer schöne Verschwörungslinks für mich hat: ab an felix-bloginput (at) fefe.de!
[zurück][ältere Posting][neuere Posting] Dienstag, 09 September 2014 | Blog: 4 | No: 30147
Übrigens, kurzes Detail am Rande. Wenn man im Kernel seccomp-filter aktiviert und openssh mit dietlibc kompiliert und den sandbox-Modus in openssh anschaltet, dann geht sshd nicht mehr. Grund ist, dass dietlibc und glibc subtil verschiedene syscalls benutzen. Übliche Verdächtige bei sowas sind mremap, was die dietlibc für ihr realloc benutzt. Oder vielleicht Stellen, an denen glibc neuere Syscalls benutzt, wie z.B. openat() statt open(). Im Falle von openssh war es allerdings humoristisch wertvoll, denn der die Sandbox-Verletzung triggernde System Call war ... exit. In der glibc kommt exit_group raus, bei dietlibc exit. Die Sandbox von openssh hat exit_group erlaubt, aber nicht exit. Daher, als die Sandbox schon fertig war, und exit(0) aufrief, killte der Sandboxing-Mechanismus sie. m(
Geschichten aus dem Linux-Schützengraben.
[zurück]
[ältere Posting][neuere Posting]
[zurück][ältere Posting][neuere Posting] Dienstag, 09 September 2014 | Blog: 4 | No: 30147
Posting #30147
Geschichten aus dem Linux-Schützengraben.
Twiter-Ticker
Fefes Latest Youtube Video Links
Der Betrieb der KraftZeitung kostet Geld. Da wir auch weiterhin unabhängig, überparteilich und ohne kommerzieller Werbung für Sie da sein wollen, sind wir auf Ihre Spende angewiesen. Vielen Dank.
