Syswall je novi razvoj čiji je cilj stvaranje sličnosti dinamičkog zaštitnog zida za filtriranje pristupa aplikacija sistemskim pozivima. Kôd projekta napisan je na jeziku Rust, licenca nije navedena.
Ovaj novi razvoj izgleda kao interaktivna verzija uslužnog programa strace i omogućava vam praćenje svakog sistemskog poziva koji je uputio program. Ključna razlika je u tome što, pored prikazivanja informacija o sistemskim pozivima i rezultatima njihovog izvršavanja.
O Syswallu
syswall podržava interaktivni način u kojem se nadgledani proces zaustavlja prije upućivanja sistemskog poziva i od korisnika se traži da nastavi ili ignorira operaciju (na primjer, možete nadgledati pokušaje otvaranja svake datoteke ili postupka mrežne veze).
Syswall također može prikupljati statistiku o upućenim sistemskim pozivima i na temelju toga generirati izvještaj.
Ciljevi syswall-a su sljedeći:
para pružiti poboljšanu verziju stracea što je lakše utvrditi šta softver zapravo radi.
Osigurajte okruženje za testiranje i eksperimentiranje sa softverom omogućavanjem detaljnog i interaktivnog pristupa dopuštanju i odbijanju sistemskih poziva.
Svaki proces može imati konfiguracijsku datoteku
Za svaki proces, sKonfiguracijsku datoteku može povezati s popisom izričito dozvoljenih ili blokiranih sistemskih poziva.
Za podržane pozive, syswall omogućava korisniku da izvrši sljedeće radnje:
- Dopustite syscall jednom
- Uvijek dopustite taj određeni syscall
- Blokiraj syscall jednom (tvrdo ili meko)
- Uvijek blokiraj taj određeni syscall (tvrdi ili meki)
- Kada blokira, program može izvršiti blokadu (tvrdu ili meku).
Tijekom interaktivne sesije moguće je dopustiti ili blokirati određene sistemske pozive u vrijeme izvođenja i bilo koje pozive ovom sistemskom pozivu, bez obzira na to gdje se programu pristupa.
Blokiranje je podržano u "tvrdom" i "mekom" načinu rada.
Vrste brava
U prvom slučaju, sistemski poziv se ne izvršava i postupak se šalje šifra pristupne greške. U drugom slučaju, sistemski poziv se također ne izvršava, ali proces prima fiktivni uspješni povratni kôd, simulirajući uspješno izvršenje sistemskog poziva.
Na primjer, trenutno je podržana samo analiza sistemskog poziva koja se odnosi na operacije datoteka.
Tvrdi blok sprečava izvršavanje syscall-a i vraća pogrešku odbijenu dozvolu podređenom procesu. S druge strane, soft zaključavanje sprječava syscall, ali pokušava vratiti odgovarajući odgovor na podređeni proces da bi se pretvarao da je syscall zapravo izvršen.
U tom će se slučaju zahtjevi za potvrdu prikazivati samo kada se odnose na posebno birane ili prethodno propuštene sistemske pozive.
Spremite i učitajte konfiguraciju procesa.
Izbori napravljeni tokom izvršavanja mogu se sačuvati u JSON datoteci. Ova datoteka se može učitati tijekom drugog izvođenja tako da se koriste gore navedene opcije.
Ovo je posao koji je u toku - uvijek će se sačuvati samo dopušteni / blokirani odgovori.
Izveštaji
Kada podređeni proces završi, syswall će izdati kratko izvješće o sistemskim pozivima podređenog procesa. Trenutno se sastoji od svih otvorenih ili zaključanih datoteka, ali će se proširiti u budućim izdanjima.
Projekt je još uvijek u fazi funkcionalnog prototipa i nisu ostvarene sve zamišljene mogućnosti.
Treba još mnogo toga razviti
Postoji velika lista obaveza za projekat, u budućnosti se planira dodati podrška za dodatne klase sistemskih poziva, lmogućnost provjere, uzimajući u obzir argumente proslijeđene sistemskom pozivu, način spremanja stanja procesa u datoteku za kasniju usporedbu aktivnosti tijekom različitih pokretanja programa (na primjer, za usporedbu popisa datoteka i mrežnih veza), opcija zanemariti učitavanje dinamičkih knjižnica i podržati tipični skup postavki (na primjer, zaključati sve utičnice, ali omogućiti pristup datotekama).