Syswall е нова разработка, насочена към създаване на подобие на динамична защитна стена за филтриране на достъпа на приложенията до системни повиквания. Кодът на проекта е написан на езика Rust, лицензът не е посочен.
Това ново развитие изглежда като интерактивната версия на помощната програма strace и ви позволява да следите всяко системно обаждане, направено от програмата. Ключовата разлика е, че освен показването на информация за системните повиквания и резултатите от тяхното изпълнение.
Относно Syswall
Сисуол поддържа интерактивен режим в който наблюдаваният процес се спира преди извършване на системно повикване и потребителят е помолен да продължи или да игнорира операцията (например можете да наблюдавате опитите за отваряне на всеки файл или процес на мрежова връзка).
Syswall може също така да събира статистика за извършените системни повиквания и да генерира отчет въз основа на него.
Целите на syswall са както следва:
за предоставят подобрена версия на strace което е по-лесно да се определи какво всъщност прави софтуерът.
Осигурете среда за тестване и експериментиране със софтуера, като позволите подробен и интерактивен подход за разрешаване и отхвърляне на системни обаждания.
Всеки процес може да има конфигурационен файл
За всеки процес, sМоже да свърже конфигурационен файл със списък на изрично разрешени или блокирани системни повиквания.
За поддържани повиквания syswall позволява на потребителя да извършва следните действия:
- Позволете syscall веднъж
- Винаги разрешавайте този конкретен syscall
- Блокиране на syscall веднъж (твърдо или меко)
- Винаги блокирайте този конкретен syscall (твърд или мек)
- При блокиране програмата може да изпълни блок (твърд или мек).
По време на интерактивната сесия е възможно да се разрешат или блокират конкретни системни повиквания по време на изпълнение и всякакви повиквания към това системно повикване, независимо къде се осъществява достъп до програмата.
Блокирането се поддържа в "твърд" и "мек" режим.
Видове брави
В първия случай системното повикване не се изпълнява и кодът за грешка при достъпа се изпраща към процеса. Във втория случай системното повикване също не се изпълнява, но процесът получава фиктивен успешен код за връщане, симулиращ успешното изпълнение на системното повикване.
Например в момента се поддържа само разбор на системни повиквания, свързани с файлови операции.
Твърд блок предотвратява изпълнението на syscall и връща грешка, отказана от разрешение, на дъщерния процес. От друга страна, мекото заключване предотвратява syscall, но се опитва да върне подходящ отговор на дъщерния процес, за да се преструва, че syscall действително е изпълнен.
В този случай заявките за потвърждение ще се показват само когато се отнасят до специално набрани или липсващи преди това системни повиквания.
Запазете и заредете конфигурация на процеса.
Изборите, направени по време на изпълнението, могат да бъдат записани в JSON файл. Този файл може да бъде зареден по време на друго изпълнение, така че да се използват горните опции.
Това е в процес на работа - винаги ще се запазват само разрешени / блокирани отговори.
информация
Когато процесът на детето завърши, syswall ще издаде кратък отчет за системните повиквания на детето. Понастоящем той се състои от всички отворени или заключени файлове, но ще бъде разширен в бъдещи версии.
Проектът все още е на етап функционален прототип и не всички замислени възможности са реализирани.
Има още какво да се развие
За проекта има голям списък със задачи, в бъдеще се планира да се добави поддръжка за допълнителни класове системни разговори, lвъзможност за проверка, като се вземат предвид аргументите, предадени на системното повикване, средство за запазване на състоянието на процеса във файл за по-късно сравнение на активността по време на стартиране на различни програми (например за сравняване на списъци с файлове и връзки на мрежата), опция да игнорира зареждането на динамични библиотеки и да поддържа типичния набор от настройки (например заключване на всички сокети, но разрешаване на достъп до файлове).