
<div dir="ltr"><div>а как предполагается, это должно работать ?</div><div><br></div><div>типа, программа использует эти вызовы, а мы такие бац, и запретили.</div><div>и что должно произойти ? всё сломается ?</div><div><br></div><div>какая модель угроз ? есть какие-нибудь примеры ?<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">ср, 12 мая 2021 г. в 17:43, <<a href="mailto:izorkin@gmail.com">izorkin@gmail.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Здравствуйте.<br>


SystemD поддерживает возможность запуска сервисов в режиме песочницы. В параметрах есть опция RemoveIPC - <a href="https://www.freedesktop.org/software/systemd/man/systemd.exec.html#RemoveIPC=" rel="noreferrer" target="_blank">https://www.freedesktop.org/software/systemd/man/systemd.exec.html#RemoveIPC=</a><br>


Приложение nginx использует IPC вызовы? Можно ли фильтровать эти события, а так же системные вызовы @ipc - <a href="https://www.freedesktop.org/software/systemd/man/systemd.exec.html#SystemCallFilter=" rel="noreferrer" target="_blank">https://www.freedesktop.org/software/systemd/man/systemd.exec.html#SystemCallFilter=</a><br>


Набор фильтров @ipc фильруется такие системные вызовы:<br>


```<br>


    # SysV IPC, POSIX Message Queues or other IPC<br>


    ipc<br>


    memfd_create<br>


    mq_getsetattr<br>


    mq_notify<br>


    mq_open<br>


    mq_timedreceive<br>


    mq_timedreceive_time64<br>


    mq_timedsend<br>


    mq_timedsend_time64<br>


    mq_unlink<br>


    msgctl<br>


    msgget<br>


    msgrcv<br>


    msgsnd<br>


    pipe<br>


    pipe2<br>


    process_vm_readv<br>


    process_vm_writev<br>


    semctl<br>


    semget<br>


    semop<br>


    semtimedop<br>


    semtimedop_time64<br>


    shmat<br>


    shmctl<br>


    shmdt<br>


    shmget<br>


```<br>


В коде nginx используются эти вызовы?<br>


Тут - <a href="https://github.com/nginx/nginx/blob/master/src/event/ngx_event_pipe.c#L119" rel="noreferrer" target="_blank">https://github.com/nginx/nginx/blob/master/src/event/ngx_event_pipe.c#L119</a> вроде используется вызов pipe. Или это разные вещи?<br>


<br>


nginx.service:<br>


```<br>


AmbientCapabilities=CAP_NET_BIND_SERVICE<br>


AmbientCapabilities=CAP_SYS_RESOURCE<br>


CapabilityBoundingSet=CAP_NET_BIND_SERVICE<br>


CapabilityBoundingSet=CAP_SYS_RESOURCE<br>


LockPersonality=true<br>


MemoryDenyWriteExecute=true<br>


NoNewPrivileges=true<br>


PrivateDevices=true<br>


PrivateMounts=true<br>


PrivateTmp=true<br>


ProcSubset=pid<br>


ProtectClock=true<br>


ProtectControlGroups=true<br>


ProtectHome=true<br>


ProtectHostname=true<br>


ProtectKernelLogs=true<br>


ProtectKernelModules=true<br>


ProtectKernelTunables=true<br>


ProtectProc=invisible<br>


ProtectSystem=strict<br>


RemoveIPC=true<br>


RestrictAddressFamilies=AF_UNIX<br>


RestrictAddressFamilies=AF_INET<br>


RestrictAddressFamilies=AF_INET6<br>


RestrictNamespaces=true<br>


RestrictRealtime=true<br>


RestrictSUIDSGID=true<br>


SystemCallArchitectures=native<br>


SystemCallFilter=~@cpu-emulation @debug @keyring @ipc @mount @obsolete @privileged @setuid<br>


UMask=0027<br>


```<br>


<br>


<br>


-- <br>


С уважением,<br>


 Izorkin                          mailto:<a href="mailto:izorkin@gmail.com" target="_blank">izorkin@gmail.com</a><br>


<br>


_______________________________________________<br>


nginx-ru mailing list<br>


<a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>


<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></blockquote></div>