やあ、
私はtests / 18-sim-basic_whitelist.cを読んでいました。
私がそれを正しく理解している場合、それは以下を行います:
read
、 write
、 close
、およびrt_sigreturn
システムコールを禁止します(stdin、stdout、stderrに作用する場合のみ)。これはホワイトリストではなく、ブラックリストです。
ファイルの名前を変更する必要がありますか? ホワイトリストに登録するには、すべてのKILL
とACCEPT
交換する必要がありますか?
これはseccompの強く推奨される使用法であるため、真のホワイトリストの例があると便利です。
はい、おそらく名前を変更する必要がありますが、正直なところ、これらの名前はそれほど重要ではありません。テストの内容が重要です。
拡張の提案:ホワイトリストテストを_さらに_行うとよいでしょう。 テストケースは、開発者が参照またはコード例として使用する傾向があります。 :+1:
基本的に同じバグのあるライブラリ(私が作成したものではない)を見つけました。 これは、seccompを使用してホワイトリストに登録することを意味していましたが、実際にはブラックリストに登録していました。 これが独立したバグなのか、このテストケースによって無意識のうちに引き起こされたのかはわかりません。
ちなみに、このコメントを削除して、別の問題を開いてほしいですか?
5e0a33f8f5c086204451041c43010e4ab51b5c6eにマージされました。@ lucabに感謝します。
最も参考になるコメント
5e0a33f8f5c086204451041c43010e4ab51b5c6eにマージされました。@ lucabに感謝します。