LSMを使用したLinuxシステムコールのインターセプト

初期条件

• 4コアIntel Core i7プロセッサー
• 4 GB RAM + 4 GBスワップ
• VirtualBox 5.1.10仮想マシン上のUbuntu 16.10 x64
• Linuxカーネル4.9.0
• gcc 6.2.0

sudo apt-get update sudo apt-get install libncurses5-dev 

コアアセンブリのクリーニング

1. 最初のカーネルビルドは、かなり長いプロセスです。 ほとんどの場合、20分から3時間続きます。 事前にビルドしておけば、ほとんどのカーネルバイナリを入手できます。再コンパイルする必要はありません。 これにより、「私の最初のHello Worldが開始されますか？」という質問への回答を待つことなく、モジュールの開発に完全に集中できます。
   
   
2. きれいなコアを正常に組み立てたら、この段階で問題がなく、次のステップに進むことができることがわかります。 新しくコンパイルされたカーネルを使用したブートが失敗する場合があり、モジュールを使用してそれをアセンブルした場合、システムが正確に何を設定したかを理解することは困難です。

1. ソースを含むアーカイブをダウンロードします。
   
   

    wget https://cdn.kernel.org/pub/linux/kernel/v4.x/linux-xxxtar.xz 

   
   ここで、xxxはカーネルのバージョンです。
   
   または、 kernel.orgから手動でアーカイブをダウンロードできます
   
   
2. アーカイブからデータを抽出します。
   
   

    tar -xpJf linux-xxxtar.xz 

   
   
3. 新しく解凍したフォルダーに移動します。
   
   

    cd linux-xxx 

   
   
4. デフォルトのカーネル構成を生成します。
   
   

    make defconfig 

   
   
   上級者向け：

    make menuconfig 

   
   カーネル構成の疑似グラフィックインターフェイスが開きます。 ほとんどのオプションを理解することは難しくありませんが、各可変パラメーターを理解しなければ、すべてを壊すことは非常に簡単です。 最初のビルドでは、デフォルト設定を使用することをお勧めします。
   
   
   
5. カーネルとモジュールのアセンブリを直接開始します。
   
   

    make && make modules 

   
   アセンブリは20分から3時間続きます。
   
   
   ライフハック：

    make -jx && make modules -jx 

   
   xはプロセッサコアの数+ 1です。つまり、私の場合はx = 5です。
   この値はすべてのマニュアルで設定することをお勧めしますが、実際には、任意の値を設定できます。 「コアの数を2倍にする」、つまり-j 9パラメーターを使用してアセンブリを開始することにしました。これにより、アセンブリが2倍速くなることはありませんが、システム内の他のすべてのプロセスに対するアセンブリプロセスの競争力が高まります。
   
   さらに、システムモニター（gnome-system-monitor）で、すべてのmakeプロセスの最大優先度を設定します。 システムは文字通りハングしましたが、アセンブリには6分かかりました。 この方法は自己責任で使用してください。
   
   
   ビルドが成功したら、組み立てたものをすべてインストールする必要があります。 これにはルート権限が必要です。
   
   
6. ヘッダーの設定：
   
   

    sudo make headers_install 

   
   
7. モジュールのインストール：
   
   

    sudo make modules_install 

   
   
8. カーネルを直接インストールする：
   
   

    sudo make install 

   
   
9. インストールコマンドは、初期RAMディスクを生成し、grubを更新する必要があります。 突然初期RAMディスクが生成されなかった場合、新しいカーネルを備えたシステムは起動しません。
   
   これは、ファイル「/boot/initrd.img-xxx」（xxx-カーネルバージョン）の存在によって確認できます。
   ファイルが見つからなかった場合は、手動で生成します。
   
   

    sudo update-initramfs –c –k xxx 

   
   
10. GRUBブートローダーの更新：
    
    

     sudo update-grub 

 uname -r 

モジュール作成

• カーネルは標準Cライブラリにアクセスできませんが、これは実行速度とコード量が理由です。 ただし、一部の機能はカーネルソースにあります。 例えば、通常の文字列関数はファイルlib / string.cに記述されています
  
  
• メモリ保護の欠如。 通常のプログラムがメモリに誤ってアクセスしようとすると、カーネルがプロセスをクラッシュさせる可能性があります。 カーネルがメモリに誤ってアクセスしようとすると、結果の制御が低下します。 さらに、カーネルはページ置換を使用しません。カーネルで使用される各バイトは物理メモリの1バイトです。
  
  
• カーネルでは浮動小数点計算を使用できません。 浮動小数点モードをアクティブにするには、他のルーチン操作の中でも特に、浮動小数点サポートデバイスのレジスタを保存および登録する必要があります。
  
  
• 固定スタック（およびかなり小さい）。 そのため、カーネルで再帰を使用することは推奨されません。
  

こんにちは世界！

 // hello.c #include <linux/module.h> #include <linux/kernel.h> static int __init myinit(void) { printk("%s\n","<my_tag> hello world"); return 0; } static void __exit myexit(void) {} module_init(myinit); module_exit(myexit); MODULE_LICENSE("GPL"); 

組立

 #       KERNEL_PATH = /path-to-your-kernel/linux-xxx #  ,       obj-m += hello.o all: #  make   -C ,       # KERNEL_PATH.    ,     #    # SUBDIRS -  ,      , #    -   make -C $(KERNEL_PATH) SUBDIRS=$(PWD) modules #   ,      make clean #  ,      clean: rm -f *.o *.mod* Module.symvers modules.order 

 make 

ロードとアンロード

1. モジュールとカーネルのアセンブリ。 この場合、モジュールはシステム起動の一部としてロードされ、モジュール自体がカーネルコードの一部になります。
   
   
2. すでに実行中のシステムでの動的ロード。 上記のモジュール作成方法には、まさにそのようなロード方法が含まれます。 この場合、モジュールのロードは、通常のユーザープログラムの起動に似ています。

 sudo insmod hello.ko 

 dmesg | grep '<my_tag>' 

 <my_tag> hello world 

 sudo rmmod hello.ko 

 static int __init myinit(void) { printk("%s\n","<my_tag> hello world"); return -1; } 

システムコールの傍受

安全でない方法

LSM

コード記述

1. カーネルソースにセキュリティフォルダーを見つけ、その中にモジュール用のフォルダーを作成し、そのソースコードfoobar.cを作成します。
   
   

    // /security/foobar/foobar.c //---INCLUDES #include <linux/module.h> #include <linux/lsm_hooks.h> //---HOOKS //mkdir hook static int foobar_inode_mkdir(struct inode *dir, struct dentry *dentry, umode_t mask) { printk("%s\n","<my_tag> mkdir hook"); return 0; } //---HOOKS REGISTERING static struct security_hook_list foobar_hooks[] = { LSM_HOOK_INIT(inode_mkdir, foobar_inode_mkdir), }; //---INIT void __init foobar_add_hooks(void) { security_add_hooks(foobar_hooks, ARRAY_SIZE(foobar_hooks)); } 

   
   lsm_hooks.hファイルにはこれらの事前定義されたフックのヘッダーが含まれ、LSM_HOOK_INITは対応するfoobar_inode_mkdir（）をinode_mkdir（）フックに記録し、security_add_hooks（）は関数をLSMカスタムフックの一般リストに追加します。
   
   したがって、 mkdirを呼び出すたびに 、関数foob​​ar_inode_mkdir（）が呼び出されます。
   
   
2. 関数のヘッダーをファイル「/include/linux/lsm_hooks.h」に追加します。
   
   

    #ifdef CONFIG_SECURITY_FOOBAR extern void __init foobar_add_hooks(void); #else static inline void __init foobar_add_hooks(void) { } #endif 

   
   すべての呼び出しはsecurity.cソースファイル（以降）で行われます。このステップでは、関数の存在を彼に通知します。
   
   
3. ファイル「/security/security.c」で、「int __init security_init（void）」関数を見つけ、その本体に次の呼び出しを追加します。
   
   

    foobar_add_hooks(); 

アセンブリ構成

1. モジュールのあるフォルダー（/ security / foobar /）で、Kconfigファイルを作成します。
   
   

    config SECURITY_FOOBAR bool "FooBar security module" default y help Any help text here 

   
   これにより、モジュールでメニュー項目が作成されます。
   
   
2. ファイル/ security / Kconfigを開き、「menu」セキュリティオプション」の行の直​​後に次のテキストを追加します。
   
   

    source security/foobar/Kconfig 

   
   これにより、メニュー項目がグローバルカーネル設定メニューに追加されます。
   
   
3. モジュールを含むフォルダーにMakefileを作成します。
   
   

    obj-$(CONFIG_SECURITY_FOOBAR) += foobar.o 

   
   
4. セキュリティセクション全体（/ security / Makefile）のMakefileを開き、次の行を追加します（他のモジュールの同じ行と同様）。
   
   

    subdir-$(CONFIG_SECURITY_FOOBAR) += foobar obj-$(CONFIG_SECURITY_FOOBAR) += foobar/ 

   
   
5. 疑似グラフィックモードで構成を実行します。
   
   

    make menuconfig 

   
   「セキュリティオプション」サブメニューに移動すると、最初の項目に「y」記号が付いたモジュールが表示されます（Kconfigファイルの作成時にこのデフォルト値を設定します）。つまり、モジュールをカーネルコードに直接統合します。

組立

 make && make modules 

 sudo make install 

 dmesg | grep '<my_tag>'