<div dir="ltr"><div>а как предполагается, это должно работать ?</div><div><br></div><div>типа, программа использует эти вызовы, а мы такие бац, и запретили.</div><div>и что должно произойти ? всё сломается ?</div><div><br></div><div>какая модель угроз ? есть какие-нибудь примеры ?<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">ср, 12 мая 2021 г. в 17:43, <<a href="mailto:izorkin@gmail.com">izorkin@gmail.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Здравствуйте.<br>
SystemD поддерживает возможность запуска сервисов в режиме песочницы. В параметрах есть опция RemoveIPC - <a href="https://www.freedesktop.org/software/systemd/man/systemd.exec.html#RemoveIPC=" rel="noreferrer" target="_blank">https://www.freedesktop.org/software/systemd/man/systemd.exec.html#RemoveIPC=</a><br>
Приложение nginx использует IPC вызовы? Можно ли фильтровать эти события, а так же системные вызовы @ipc - <a href="https://www.freedesktop.org/software/systemd/man/systemd.exec.html#SystemCallFilter=" rel="noreferrer" target="_blank">https://www.freedesktop.org/software/systemd/man/systemd.exec.html#SystemCallFilter=</a><br>
Набор фильтров @ipc фильруется такие системные вызовы:<br>
```<br>
# SysV IPC, POSIX Message Queues or other IPC<br>
ipc<br>
memfd_create<br>
mq_getsetattr<br>
mq_notify<br>
mq_open<br>
mq_timedreceive<br>
mq_timedreceive_time64<br>
mq_timedsend<br>
mq_timedsend_time64<br>
mq_unlink<br>
msgctl<br>
msgget<br>
msgrcv<br>
msgsnd<br>
pipe<br>
pipe2<br>
process_vm_readv<br>
process_vm_writev<br>
semctl<br>
semget<br>
semop<br>
semtimedop<br>
semtimedop_time64<br>
shmat<br>
shmctl<br>
shmdt<br>
shmget<br>
```<br>
В коде nginx используются эти вызовы?<br>
Тут - <a href="https://github.com/nginx/nginx/blob/master/src/event/ngx_event_pipe.c#L119" rel="noreferrer" target="_blank">https://github.com/nginx/nginx/blob/master/src/event/ngx_event_pipe.c#L119</a> вроде используется вызов pipe. Или это разные вещи?<br>
<br>
nginx.service:<br>
```<br>
AmbientCapabilities=CAP_NET_BIND_SERVICE<br>
AmbientCapabilities=CAP_SYS_RESOURCE<br>
CapabilityBoundingSet=CAP_NET_BIND_SERVICE<br>
CapabilityBoundingSet=CAP_SYS_RESOURCE<br>
LockPersonality=true<br>
MemoryDenyWriteExecute=true<br>
NoNewPrivileges=true<br>
PrivateDevices=true<br>
PrivateMounts=true<br>
PrivateTmp=true<br>
ProcSubset=pid<br>
ProtectClock=true<br>
ProtectControlGroups=true<br>
ProtectHome=true<br>
ProtectHostname=true<br>
ProtectKernelLogs=true<br>
ProtectKernelModules=true<br>
ProtectKernelTunables=true<br>
ProtectProc=invisible<br>
ProtectSystem=strict<br>
RemoveIPC=true<br>
RestrictAddressFamilies=AF_UNIX<br>
RestrictAddressFamilies=AF_INET<br>
RestrictAddressFamilies=AF_INET6<br>
RestrictNamespaces=true<br>
RestrictRealtime=true<br>
RestrictSUIDSGID=true<br>
SystemCallArchitectures=native<br>
SystemCallFilter=~@cpu-emulation @debug @keyring @ipc @mount @obsolete @privileged @setuid<br>
UMask=0027<br>
```<br>
<br>
<br>
-- <br>
С уважением,<br>
Izorkin mailto:<a href="mailto:izorkin@gmail.com" target="_blank">izorkin@gmail.com</a><br>
<br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></blockquote></div>