Hi,
Ich habe tests/18-sim-basic_whitelist.c gelesen .
Wenn ich es richtig verstanden habe, macht es folgendes:
read
, write
, close
und rt_sigreturn
Systemaufrufe (nur wenn sie auf stdin, stdout, stderr wirken).Das ist kein Whitelisting, das ist Blacklisting.
Soll die Datei umbenannt werden? Sollten alle KILL
s und ACCEPT
s getauscht werden, um Whitelisting zu erreichen?
Es wäre schön, ein echtes Whitelisting-Beispiel zu haben, da dies die dringend empfohlene Verwendung von seccomp ist.
Ja, es sollte wahrscheinlich umbenannt werden, aber um ehrlich zu sein, ist der Name nicht sehr wichtig, der Inhalt des Tests ist entscheidend.
Verbesserungsvorschlag: Es wäre schön, _zusätzlich_ einen Whitelisting-Test durchzuführen. Testfälle werden von Entwicklern in der Regel als Referenz oder Codebeispiel verwendet. :+1:
Ich habe gerade eine Bibliothek (nicht von mir geschrieben) gefunden, die im Grunde den gleichen Fehler hatte. Es wollte Whitelisting mit seccomp machen, hat aber tatsächlich Blacklisting gemacht. Ich kann nicht sagen, ob dies ein unabhängiger Fehler war oder vielleicht unbewusst durch diesen Testfall induziert wurde.
Übrigens: Soll ich diesen Kommentar löschen und dafür eine eigene Ausgabe eröffnen?
Zusammengeführt in 5e0a33f8f5c086204451041c43010e4ab51b5c6e, danke @lucab!
Hilfreichster Kommentar
Zusammengeführt in 5e0a33f8f5c086204451041c43010e4ab51b5c6e, danke @lucab!