Merge pull request 'fib-priv-sep' (#2) from fib-priv-sep into main
Reviewed-on: #2
This commit is contained in:
commit
3765a571cc
1
examples/fib/.gitignore
vendored
Normal file
1
examples/fib/.gitignore
vendored
Normal file
@ -0,0 +1 @@
|
||||
fib_priv_sep
|
||||
10
examples/fib/Makefile
Normal file
10
examples/fib/Makefile
Normal file
@ -0,0 +1,10 @@
|
||||
C=clang -Wall
|
||||
|
||||
all: fib_priv_sep
|
||||
|
||||
clean:
|
||||
rm -f fib_priv_sep
|
||||
|
||||
fib_priv_sep: fib_priv_sep.c ../../lib/clone3.c ../../include/clone3.h
|
||||
${C} -I../../include -o fib_priv_sep fib_priv_sep.c ../../lib/clone3.c
|
||||
sudo setcap CAP_SYS_ADMIN+eip ./fib_priv_sep
|
||||
76
examples/fib/fib_priv_sep.c
Normal file
76
examples/fib/fib_priv_sep.c
Normal file
@ -0,0 +1,76 @@
|
||||
// For privilege separation
|
||||
#include <clone3.h>
|
||||
|
||||
#include <linux/wait.h>
|
||||
#include <stdlib.h>
|
||||
#include <sys/types.h>
|
||||
#include <sys/wait.h>
|
||||
|
||||
// This program
|
||||
#include <stdint.h>
|
||||
#include <stdio.h>
|
||||
|
||||
uint64_t fib(uint64_t i) {
|
||||
uint64_t a = 0;
|
||||
uint64_t b = 1;
|
||||
|
||||
for (; i > 0; i--) {
|
||||
uint64_t old_b = b;
|
||||
b = b + a;
|
||||
a = old_b;
|
||||
}
|
||||
|
||||
return a;
|
||||
}
|
||||
|
||||
int real_main(int argc, char **argv);
|
||||
|
||||
int main(int argc, char **argv) {
|
||||
int pid_fd;
|
||||
|
||||
struct clone_args cl_args = {
|
||||
.flags = CLONE_NEWIPC | CLONE_NEWNET | CLONE_NEWNS | CLONE_NEWPID |
|
||||
CLONE_NEWUSER | CLONE_NEWUTS | CLONE_PIDFD,
|
||||
.pidfd = (uint64_t)&pid_fd,
|
||||
.child_tid = (uint64_t)NULL,
|
||||
.parent_tid = (uint64_t)NULL,
|
||||
.exit_signal = SIGCHLD,
|
||||
.stack = (uint64_t)NULL,
|
||||
.stack_size = 0,
|
||||
.tls = (uint64_t)NULL,
|
||||
};
|
||||
|
||||
pid_t child = clone3(&cl_args);
|
||||
if (child < 0) {
|
||||
perror("clone3");
|
||||
exit(-1);
|
||||
} else if (child == 0) {
|
||||
int code = real_main(argc, argv);
|
||||
exit(code);
|
||||
} else {
|
||||
siginfo_t status;
|
||||
if (waitid(P_PIDFD, pid_fd, &status, WEXITED) == -1) {
|
||||
perror("waitid");
|
||||
return -1;
|
||||
}
|
||||
|
||||
exit(status.si_status);
|
||||
}
|
||||
}
|
||||
|
||||
int real_main(int argc, char **argv) {
|
||||
if (argc != 2) {
|
||||
fprintf(stderr, "expected 1 argument\n");
|
||||
return -1;
|
||||
}
|
||||
|
||||
uint64_t i = 0;
|
||||
if (sscanf(argv[1], "%lu", &i) != 1) {
|
||||
fprintf(stderr, "sscanf failed\n");
|
||||
return -1;
|
||||
}
|
||||
|
||||
uint64_t fib_result = fib(i);
|
||||
printf("fib(%lu) = %lu\n", i, fib_result);
|
||||
return 0;
|
||||
}
|
||||
3
include/clone3.h
Normal file
3
include/clone3.h
Normal file
@ -0,0 +1,3 @@
|
||||
#include <linux/sched.h>
|
||||
|
||||
long clone3(struct clone_args *cl_args);
|
||||
7
lib/clone3.c
Normal file
7
lib/clone3.c
Normal file
@ -0,0 +1,7 @@
|
||||
#include <clone3.h>
|
||||
#include <sys/syscall.h>
|
||||
#include <unistd.h>
|
||||
|
||||
long clone3(struct clone_args *cl_args) {
|
||||
return syscall(SYS_clone3, cl_args, sizeof(struct clone_args));
|
||||
}
|
||||
Reference in New Issue
Block a user