Syswall er en ny udvikling, der sigter mod at skabe en lighed mellem en dynamisk firewall for at filtrere adgangen til applikationer til systemopkald. Projektkoden er skrevet på Rust-sproget, licensen er ikke angivet.
Denne nye udvikling det ligner den interaktive version af strace-værktøjet og giver dig mulighed for at holde styr på alle systemopkald foretaget af programmet. Hovedforskellen er, at der ud over at vise information om systemopkaldene og resultaterne af deres udførelse.
Om Syswall
syswall understøtter interaktiv tilstand hvor den overvågede proces stoppes, før der foretages et systemopkald og brugeren bliver bedt om at fortsætte eller ignorere handlingen (for eksempel kan du overvåge forsøg på at åbne hver fil eller netværksforbindelsesproces).
Syswall kan også indsamle statistik over de foretagne systemopkald og generere en rapport baseret på den.
Formålet med sywall er som følger:
til give en forbedret version af strace hvilket er lettere at bestemme, hvilken software der faktisk gør.
Giv et miljø til at teste og eksperimentere med softwaren ved at tillade en detaljeret og interaktiv tilgang til at tillade og afvise systemopkald.
Hver proces kan have en konfigurationsfil
For hver proces, se kan forbinde en konfigurationsfil med en liste over eksplicit tilladte eller blokerede systemopkald.
For understøttede opkald tillader syswall brugeren at udføre følgende handlinger:
- Tillad syscall en gang
- Tillad altid det pågældende syscall
- Bloker syscall en gang (hård eller blød)
- Bloker altid den pågældende syscall (hård eller blød)
- Under blokering kan programmet udføre en blok (hård eller blød).
Under den interaktive session er det muligt at tillade eller blokere specifikke systemopkald på kørselstidspunktet og ethvert opkald til dette systemopkald, uanset hvor programmet åbnes.
Blokering understøttes i "hårde" og "bløde" tilstande.
Typer af låse
I det første tilfælde udføres systemopkaldet ikke, og adgangsfejlkoden sendes til processen. I det andet tilfælde udføres systemopkaldet heller ikke, men processen modtager en fiktiv vellykket returkode, der simulerer den vellykkede udførelse af systemopkaldet.
I øjeblikket understøttes for eksempel kun systemopkaldsanalyse relateret til filoperationer.
En hård blok forhindrer syscall i at udføre og returnerer en fejl nægtet tilladelse til underordnet proces. På den anden side forhindrer en blød lås syscall, men forsøger at returnere et passende svar på barneprocessen for at foregive, at syscall faktisk blev udført.
I dette tilfælde vises anmodninger om bekræftelse kun, når de henviser til specielt kaldte eller tidligere manglende systemopkald.
Gem og indlæs en proceskonfiguration.
Valg foretaget under udførelse kan gemmes i en JSON-fil. Denne fil kan indlæses under en anden kørsel, så ovenstående muligheder bruges.
Dette er et igangværende arbejde - kun tilladte / blokerede svar gemmes altid.
oplysninger
Når barneprocessen er færdig, udgiver syswall en kort rapport om barneproces systemopkald. I øjeblikket består den af alle åbne eller låste filer, men vil blive udvidet i fremtidige udgivelser.
Projektet er stadig i fasen af en funktionel prototype, og ikke alle de udtænkte muligheder realiseres.
Der er stadig mere at udvikle
Der er en stor opgaveliste til projektet, i fremtiden er det planlagt at tilføje support til yderligere klasser af systemopkald, levne til at verificere, under hensyntagen til de argumenter, der er videregivet til systemopkaldet, midler til at gemme procestilstanden i en fil til senere sammenligning af aktivitet under forskellige programstart (for eksempel at sammenligne lister over filer og netværkstilslutninger), mulighed for at ignorere indlæsningsdynamiske biblioteker og understøtte det typiske sæt indstillinger (fx låse alle sokler, men tillad filadgang).