Libseccomp: BUG: nome enganoso do teste 18-sim-basic_whitelist
Oi,
Eu estava lendo tests / 18-sim-basic_whitelist.c .
Se bem entendi, ele faz o seguinte:
- Proibir algumas
read,write,closeert_sigreturnsyscalls (somente se eles agirem em stdin, stdout, stderr). - Permitir tudo o mais (em particular, a leitura / gravação em qualquer outro descritor de arquivo é permitida)
Isso não é uma lista de permissões, mas sim uma lista de proibições.
O arquivo deve ser renomeado? Todos os KILL s e ACCEPT s devem ser trocados para obter a lista de permissões?
Seria bom ter um verdadeiro exemplo de whitelisting, uma vez que este é o uso fortemente recomendado de seccomp.
diekmann
Todos 3 comentários
Sim, provavelmente deveria ser renomeado, mas para ser sincero, o nome deles não é muito importante, o que importa é o conteúdo do teste.
pcmoore
em 27 abr. 2016
Sugestão de aprimoramento: seria bom _adicionalmente_ ter um teste de lista de permissões. Os casos de teste tendem a ser usados por desenvolvedores como referência ou exemplo de código. : +1:
Acabei de encontrar uma biblioteca (não escrita por mim) que tinha basicamente o mesmo bug. Significava fazer whitelisting com seccomp, mas na verdade fez blacklisting. Não posso dizer se isso era um bug independente ou talvez induzido subconscientemente por este caso de teste.
A propósito: você quer que eu exclua este comentário e abra um exemplar separado para isso?
diekmann
em 29 abr. 2016
Fundido em 5e0a33f8f5c086204451041c43010e4ab51b5c6e, obrigado @lucab!
pcmoore
em 2 jun. 2016
Questões relacionadas
alban
·
9Comentários
drakenclimber
·
10Comentários
jdstrand
·
20Comentários
srd424
·
18Comentários
pcmoore
·
20Comentários
Comentários muito úteis
Fundido em 5e0a33f8f5c086204451041c43010e4ab51b5c6e, obrigado @lucab!