Libseccomp: RFE: 알림 API로 SCMP_FLTATR_API_SYSRAWRC 지원 확장

에 만든 2020년 11월 13일 · 5코멘트 · 출처: seccomp/libseccomp

seccomp_notify_receive() 구현은 다음을 사용합니다.

        if (ioctl(fd, SECCOMP_IOCTL_NOTIF_RECV, req) < 0)
                return -ECANCELED;

errno 의 오류에 관계없이 -ECANCELED 를 반환합니다.

strace를 사용하여 디버깅할 때 SIGURG 신호로 인해 ioctl이 EINTR을 반환했다는 것을 알았습니다.

1448850 ioctl(7, SECCOMP_IOCTL_NOTIF_RECV <unfinished ...>
1448230 getpid()                        = 1448217
1448230 tgkill(1448217, 1448850, SIGURG) = 0
1448850 <... ioctl resumed>, 0x7fc65d49ecd0) = -1 EINTR (Interrupted system call)

신호 SIGURL은 Golang 런타임에 의해 생성됩니다. 자세한 내용은 https://go-review.googlesource.com/c/go/+/232862/ 를 참조하세요.
해당 보고서에 따르면 EINTR를 받을 때 syscall을 다시 발행해야 합니다.
이상적으로는 libseccomp가 이를 처리해야 하므로 사용자에게 투명합니다.

해결 방법으로 내 프로그램에서 seccomp_notify_receive()를 호출하여 syscall을 재발행하려고 시도했으며 동일한 패턴을 가지고 있기 때문에 seccomp_notify_respond() 에서도 동일한 작업을 수행하려고 했습니다.

        if (ioctl(fd, SECCOMP_IOCTL_NOTIF_SEND, resp) < 0)
                return -ECANCELED;

그러나 때로는 반환 값 errno = ENOENT를 얻습니다.

1497880 ioctl(12, SECCOMP_IOCTL_NOTIF_SEND, 0x7f718fd28e10) = -1 ENOENT (No such file or directory)

libseccomp를 사용하면 ENOENT(대상 프로세스가 SECCOMP_IOCTL_NOTIF_SEND 를 호출하기 직전에 중단됨)와 EINTR(seccomp 에이전트가 SIGURG 신호에 의해 중단됨)를 구별할 수 없습니다.

또한 Golang에서 errno 를 읽을 수 없으므로 해결 방법이 없습니다.

enhancement prioritmedium

출처

alban

가장 유용한 댓글

그러나 새로운 기능은 ... _rc_filter_sys()가 아닌 _rc_filter()를 사용하고 있습니다 ...

아 ... 죄송합니다. 사실, 그것은 API 레벨보다 더 깊습니다. "system.c"를 보면 libseccomp 시스템 레벨 호출이 API 레벨 함수까지 전파하지 않는다는 것을 알 수 있습니다. 맨페이지를 보면 알림 API에 대해 SCMP_FLTATR_API_SYSRAWRC 에 대해 어떠한 주장도 하지 않는 것으로 보입니다(반대 예는 seccomp_load(3) 참조).

우리는 현재 이 작업에 대해 어떠한 주장도 하지 않기 때문에 이것을 RFE로 다시 열겠습니다.

@drakenclimber v2.5.1 릴리스를 늦추고 싶지 않기 때문에 이것이 v2.6.x(v2.5.2일 수도 있음) 자료라고 생각합니다. 다른 생각이 들면 저에게 알려주십시오.

pcmoore 에 2020년 11월 13일

👍2

모든 5 댓글

안녕하세요 @alban입니다.

seccomp_attr_set(3) 맨페이지에서 SCMP_FLTATR_API_SYSRAWRC 를 보십시오.

libseccomp가 기본 -ECANCELED 대신 시스템 오류 코드를 호출자에게 다시 전달해야 하는지 여부를 지정하는 플래그입니다. 기본값은 꺼짐(값 == 0)입니다.

다른 커널/libc 버전에서 libseccomp API의 안정적인 반환 코드 약속을 보장하기 위해 이 경우 -ECANCELED 를 강제 실행합니다. 우리는 여전히 실제 커널/libc 반환 코드를 보고자 하는 호출자를 위해 SCMP_FLTATR_API_SYSRAWRC 를 제공합니다. 다만 해당 속성을 활성화하면 안정적인 반환 코드를 보장하지 않는다는 점에 유의하십시오.

pcmoore 에 2020년 11월 13일

이 문제를 NOTABUG로 마무리하겠습니다. 하지만 추가 질문이 있는 경우 여기에서 계속 논의해 주시기 바랍니다. 해결해야 할 실제 문제가 있는 것처럼 보이면 다시 열 수 있습니다.

pcmoore 에 2020년 11월 13일

안녕하세요 @pcmoore 빠른 답변 감사합니다.

실제 커널/libc 반환 코드를 보고자 하는 호출자를 위해 SCMP_FLTATR_API_SYSRAWRC를 제공합니다.

그러나 새로운 기능

seccomp_notify_receive
seccomp_notify_respond
seccomp_notify_id_valid

_rc_filter() 가 아닌 _rc_filter_sys() 를 사용하고 있으므로 내가 틀리지 않는다면 SCMP_FLTATR_API_SYSRAWRC 는 효과가 없어야 합니다.

alban 에 2020년 11월 13일

그러나 새로운 기능은 ... _rc_filter_sys()가 아닌 _rc_filter()를 사용하고 있습니다 ...

우리는 현재 이 작업에 대해 어떠한 주장도 하지 않기 때문에 이것을 RFE로 다시 열겠습니다.

@drakenclimber v2.5.1 릴리스를 늦추고 싶지 않기 때문에 이것이 v2.6.x(v2.5.2일 수도 있음) 자료라고 생각합니다. 다른 생각이 들면 저에게 알려주십시오.

pcmoore 에 2020년 11월 13일

👍2

감사 해요!

기록을 위해 다음 코드 패턴을 사용하여 ENOENT와 EINTR를 구별할 수 있도록 Golang 측에서 해결 방법을 찾았습니다.

-   if retCode := C.seccomp_notify_respond(C.int(fd), resp); retCode != 0 {
-       return errRc(retCode)
+   for {
+       retCode, errno := C.seccomp_notify_respond(C.int(fd), resp)
+       if errno == syscall.EINTR {
+           continue
+       }
+       if errno == syscall.ENOENT {
+           return errno
+       }
+       if retCode != 0 {
+           return errRc(retCode)
+       }
+       break
    }

이를 통해 libseccomp-2.5.0에서 잘 작동하는 것 같습니다.

alban 에 2020년 11월 13일

👍1

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Libseccomp: RFE: 알림 API로 SCMP_FLTATR_API_SYSRAWRC 지원 확장

가장 유용한 댓글

모든 5 댓글

관련 문제