Представлен (https://www.polaris64.net/blog/programming/2019/syswall-a-fi...) проект syswall (https://github.com/polaris64/syswall), нацеленный на создание подобия динамического межсетевого экрана для фильтрации доступа приложений к системным вызовам. Код проекта написан (https://github.com/polaris64/syswall) на языке Rust, лицензия не указана.

Syswall напоминает интерактивный вариант утилиты strace и  позволяет отслеживать каждый выполняемый программой системный вызов. Ключевым отличием является то, что помимо вывода информации о системных вызовах и результатах их выполнения, syswall поддерживает интерактивный режим при котором перед выполнением системного вызова отслеживаемый процесс останавливается и пользователю выводится запрос  на продолжение или игнорирование дальнейшей операции (например, можно контролировать попытки открытия каждого файла или сетевого соединения процессом). Syswall также может собирать статистику о выполняемых системных вызовах и на её основе формировать отчёт.

Для каждого процесса может подключаться файл конфигурации со списком явно разрешённых или запрещённых системных вызовов. В этом случае запросы на подтверждение будут выводиться только при обращении к явно определённым или ранее не встречающимся системным вызовам. Конфигурация оформляется в формате JSON и может быть сохранена на основе ответов в интерактивном сеансе.

В процессе интерактивного сеанса возможно разрешение или блокирование как конкретных системных вызовов в данный момент выполнения, так и любых обращений к данному системному вызову независимо от места обращения в программе. Поддерживается блокировка в режимах  "hard" и "soft". В первом случае выполнение системного вызова не производится и процессу выводится код ошибки доступа. Во втором случае системный вызов также не выполняется, но процессу отдаётся фиктивный успешный код возврата, симулируя успешное выполнение системного вызова.

Проект пока находится на стадии рабочего прототипа и не все задуманные возможности воплощены. Например, пока поддерживается только разбор обращений к системным вызовам, связанным с выполнением файловых операций. В дальнейшем планируется добавить поддержку дополнительных классов системных вызовов, возможность проверки с учётом передаваемых в системный вызов аргументов, средства для сохранения состояния процесса в файл для последующего сравнения активности при разных запусках программы (например, для сравнения списков файлов и сетевых соединений), опцию для игнорирования загрузки динамических библиотек и  поддержку типовых наборов настроек (например, блокировать все сокеты, но разрешить доступ к файлам).

URL: https://www.polaris64.net/blog/programming/2019/syswall-a-fi...
Новость: https://www.opennet.me/opennews/art.shtml?num=50166

• В рамках проекта syswall развивается файервол для системных ...,Гентушник, 00:01 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноним, 01:43 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,anonblmous, 08:22 , 19-Фев-19
    • В рамках проекта syswall развивается файервол для системных ...,Гентушник, 08:51 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноним, 09:41 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноним, 12:55 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,выфвы, 19:12 , 19-Фев-19
• В рамках проекта syswall развивается файервол для системных ...,Аноним, 00:19 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноним, 00:23 , 19-Фев-19
    • В рамках проекта syswall развивается файервол для системных ...,тов.майор, 09:33 , 19-Фев-19
      • В рамках проекта syswall развивается файервол для системных ...,Xasd5, 10:03 , 19-Фев-19
        • В рамках проекта syswall развивается файервол для системных ...,Аноним, 11:00 , 19-Фев-19
          • В рамках проекта syswall развивается файервол для системных ...,Аноним, 21:45 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноним84701, 00:47 , 19-Фев-19
    • В рамках проекта syswall развивается файервол для системных ...,Crazy Alex, 00:52 , 19-Фев-19
    • В рамках проекта syswall развивается файервол для системных ...,Аноним, 03:19 , 19-Фев-19
      • В рамках проекта syswall развивается файервол для системных ...,develop7, 10:01 , 19-Фев-19
      • В рамках проекта syswall развивается файервол для системных ...,Аноним84701, 13:57 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноня, 08:13 , 19-Фев-19
    • В рамках проекта syswall развивается файервол для системных ...,Аноним, 20:14 , 19-Фев-19
      • В рамках проекта syswall развивается файервол для системных ...,Кококо, 09:00 , 20-Фев-19
      • В рамках проекта syswall развивается файервол для системных ...,MerriamWebster, 18:59 , 17-Мрт-19
  • В рамках проекта syswall развивается файервол для системных ...,Mr. Cake, 08:38 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноним, 08:54 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноним, 08:56 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноним, 02:26 , 20-Фев-19
• В рамках проекта syswall развивается файервол для системных ...,Аноним, 00:20 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,develop7, 01:32 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноним, 14:46 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноним, 02:27 , 20-Фев-19
    • В рамках проекта syswall развивается файервол для системных ...,DerRoteBaron, 03:54 , 21-Фев-19
• В рамках проекта syswall развивается файервол для системных ...,Аноним, 00:28 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноним, 06:37 , 19-Фев-19
    • В рамках проекта syswall развивается файервол для системных ...,Аноним, 10:38 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноним, 10:57 , 19-Фев-19
    • В рамках проекта syswall развивается файервол для системных ...,Аноним, 11:25 , 19-Фев-19
      • В рамках проекта syswall развивается файервол для системных ...,Аноним, 12:55 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноним, 15:09 , 19-Фев-19
    • В рамках проекта syswall развивается файервол для системных ...,Аноним, 17:39 , 19-Фев-19
    • В рамках проекта syswall развивается файервол для системных ...,Ordu, 20:25 , 20-Фев-19
• В рамках проекта syswall развивается файервол для системных ...,rm1, 00:52 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноним, 14:48 , 19-Фев-19
    • В рамках проекта syswall развивается файервол для системных ...,Аноним, 20:36 , 19-Фев-19
• В рамках проекта syswall развивается файервол для системных ...,Аноним, 01:00 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноня, 08:19 , 19-Фев-19
    • В рамках проекта syswall развивается файервол для системных ...,Аноним, 09:00 , 19-Фев-19
      • В рамках проекта syswall развивается файервол для системных ...,Аноним, 14:50 , 19-Фев-19
    • В рамках проекта syswall развивается файервол для системных ...,Аноним, 13:13 , 19-Фев-19
      • В рамках проекта syswall развивается файервол для системных ...,Аноним, 13:45 , 19-Фев-19
      • В рамках проекта syswall развивается файервол для системных ...,Аноним, 21:51 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Борщдрайвен бигдата, 18:00 , 19-Фев-19
• В рамках проекта syswall развивается файервол для системных ...,Аноним, 01:39 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноним84701, 01:57 , 19-Фев-19
    • В рамках проекта syswall развивается файервол для системных ...,Ordu, 20:27 , 20-Фев-19
• В рамках проекта syswall развивается файервол для системных ...,Аноним, 02:04 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноним, 14:32 , 19-Фев-19
    • В рамках проекта syswall развивается файервол для системных ...,Аноним, 23:30 , 19-Фев-19
• В рамках проекта syswall развивается файервол для системных ...,OpenEcho, 02:50 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,A.Stahl, 04:19 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноним, 08:12 , 19-Фев-19
    • В рамках проекта syswall развивается файервол для системных ...,ОнАнон, 08:32 , 19-Фев-19
    • В рамках проекта syswall развивается файервол для системных ...,КО, 09:03 , 19-Фев-19
      • В рамках проекта syswall развивается файервол для системных ...,Аноним, 09:19 , 19-Фев-19
        • В рамках проекта syswall развивается файервол для системных ...,Xasd5, 10:07 , 19-Фев-19
      • В рамках проекта syswall развивается файервол для системных ...,Аноним, 14:36 , 19-Фев-19
      • В рамках проекта syswall развивается файервол для системных ...,Аноним, 15:16 , 19-Фев-19
        • В рамках проекта syswall развивается файервол для системных ...,Аноним, 21:58 , 20-Фев-19
• В рамках проекта syswall развивается файервол для системных ...,Аноним, 08:15 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноним, 10:12 , 19-Фев-19
• В рамках проекта syswall развивается файервол для системных ...,Аноним, 13:48 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноним, 14:34 , 19-Фев-19
    • В рамках проекта syswall развивается файервол для системных ...,Аноним, 20:36 , 19-Фев-19
• В рамках проекта syswall развивается файервол для системных ...,Аноним, 15:14 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Валик, 17:39 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,xi, 19:29 , 19-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Ordu, 20:31 , 20-Фев-19
• В рамках проекта syswall развивается файервол для системных ...,Аноним, 19:56 , 19-Фев-19
• В рамках проекта syswall развивается файервол для системных ...,Аноним, 21:20 , 19-Фев-19
• В рамках проекта syswall развивается файервол для системных ...,Онаним, 09:40 , 20-Фев-19
  • В рамках проекта syswall развивается файервол для системных ...,Аноним, 02:30 , 21-Фев-19
• В рамках проекта syswall развивается файервол для системных ...,Аноним, 21:53 , 20-Фев-19

Если не считать интерактивность, то чем это лучше AppArmor?

Интерактивный же запрос на каждый системный вызов это конечно слишком сурово...

есть еще seccomp. но некоторым людям нравится быть 'не такими как фсе'

Ну, будет в тех запросах режим обучения - "разрешить/запретить/разрешать всегда/не разрешать никогда" и создаваемые на ходу наборы правил для приложений.
Привет, виндовые Outpost-че-то-там, Comodo-че-то-там и т.п.
С одной стороны, вот прям щас такая фигация в линуксе вроде как и не нужна, с другой - _наверное_ лучше понастроить защищалок заранее, а не в последний момент, когда под линуксА появится вирусня в заметном количестве, дабы не вышло, как с виндой когда-то.
И, опять-таки, _наверное_ такое ПО было б актуальнее под ведроидом.

> И, опять-таки, _наверное_ такое ПО было б актуальнее под ведроидом.

Под ведроид ближайший известный мне аналог это XPrivacy, правда интерактивного режима там нет (по крайней мере в версии под андроид 4.2, который я использую).
Фильтруются там естественно не системные вызовы, а вызовы API андроида и не все.

>Если не считать интерактивность, то чем это лучше AppArmor?

На Растишке же.

Хипстота исправляет чужие недочеты - AppArmor написан не на Rust.

ну начинается проактивные фаерволлы для линукс ;)..ответь на 100 вопросов антивируса разрешить или нет ;)

Какая глупость выбирать Rust для интерактивных приложений, когда у этого языка нет ни одного приличного GUI-тулкита.

Опять GTK-фобы набежали…

Ключевое слово "приличного".

выше же написали что есть GTK

На какой стадии зачатия? 0.2? Да и на C GTK, а не на Rust'е.

Горшочек не вари. Хватит писать чушь. Если ты в глаза не видел сишного кода с gtk+ че ты строишь из себя эксперта. Без тебя разберёмся как из раста к gobject достучаться.

> Какая глупость выбирать Rust для интерактивных приложений, когда у этого языка нет ни одного приличного GUI-тулкита.

Я правильно понимаю, что аноним не ограничится словесным напутствием "как нужно было правильно", но и (в скором времени) представит "более верную" реализацию -- на JS + Electron (или что сейчас считается модно-приличным)?

В данном случае - скорее всего никак. Сисколлы, интерактивно? Свихнёшься же. selinux для таких дел есть.

> представит "более верную" реализацию -- на JS + Electron (или что сейчас считается модно-приличным)?

Модно-приличным считается как раз раст - ссылка в новости.

Нормальным для такого рода задач уже 40+ лет является Си. Но автор, видимо, из этих, никогда про Си не слышавших.

> Нормальным для такого рода задач уже 40+ лет является Си.

«Нормальным» в лучшем случае статистически, уж точно не «правильным».

> Нормальным для такого рода задач уже 40+ лет является Си. Но автор, видимо, из этих, никогда про Си не слышавших.

Что там было 40 лет назад, анонимам конечно виднее, но еще лет 15-20 назад  низкоуровневые тулзы (распаковщики, АПИ-логеры и прочее) для  схожих задач вполне могли быть или полностью на асме или с сишкой только в качестве обертки для гуя и никто это почему-то не считал ненормальным.

есть байндинг к гтк, он довольно хорошо работает

биндинг! .i. в слове bind имеет закрытый слог

Финдинг

https://www.merriam-webster.com/dictionary/bind

Ну как же, есть у них свой UI-тулкит, servo называется.

а зачем для этого нужен гуй? Нотификации показывают, отправляя сообщения по dbus. Наверняка и с диалогами есть что-то похожее.

Просто GLib при всех своих недостатках и постоянных deprecated в GTK хотя бы кое-как вписывается в ржавую экосистему.
Я понимаю, что ты имеешь ввиду Qt, но так как это библиотека для всего на свете, там для всего единственно верный™ путь.
Надо ли говорить, что это черевато 100500 строчками unsafe кода, чтобы биндинг хоть как-то шевелился?

Кек. Такая утилита должна быть консольной. Гуй к ней ты можешь сам написать на том же бидоне с gtk или на плюсах с qt.

Лучше бы автор systemd на Rust'е переписал, если уж он такой любитель коррозии.

«лучше бы такой-то делал X вместо Y» не работает чуть менее, чем всегда.

хотя конкретно данная идея вполне здравая.

"Выкрасить и выбросить"(с)?

Леня либитель Rust?

Вот как раз таки он любитель и не всегда уметель в Си.
И если кто-то из ржавого сообщества соберется переписать, определенно получится лучше. Плюсом избавление от части уязвимостей и багов.

Ну и в конце концов systemd сделана и работает лучше многих других попыток сделать что-то несколько большее, чем простой инит времен "правильых" Юниксов.

Хотел посмотреть чего такого чувак написал на C и С++, что так восхваляет раст, а нашёл дырку от бублика: https://github.com/polaris64?tab=repositories

> так восхваляет раст

Как?

I absolutely love Rust! I have been using C and C++ for more low-level programming for around 20 years now and they were always my go-to languages if anything serious needed to be done. ...

Вот же https://www.polaris64.net/blog/programming/2012/about-my-pro...

I wrote hundreds of programs...

I have also written a whole host of back office utilities, many in C, C++, Pascal and Perl to perform various tasks such as automation, glue systems, even complete back office systems.

И где же можно посмотреть на код этих его сотен утилит на C, С++?

> И где же можно посмотреть на код этих его сотен утилит на
> C, С++?

Сотни - это на всевозможных языках.

20*365/500 = 14,6 в среднем дней на каждую.

Было бы он профессионал, перешёл бы на Ди. А его прошлое с "сотнями утилит" никому не интересно.

Профессионал бы просто перешел на C++17 и не ныл, что он устаревший. А то кодят на допотопной кустарной смеси Си с классами, а потом ноют, что код громоздкий и падает.

На D не переходят с C/C++. Ну реально, сборка мусора поперёк горла, тем кто 20 лет на C/C++ кодил.

> лицензия не указана

Далеко пойдут.

(нет).

Видимо, чуваку интереснее таки писать код, чем выпячивать свои девиации.

Я завел тикет, уже добавили - LGPL.

Не особо понимаю хейт по поводу раста, ну раст и раст, язык как язык
А вот что лицензии нет - плохо, мб кинуть стоит в issues?

Хейтят потому что потеряли способность к обучению.

В таком случае умный человек бы его вообще не трогал, ведь C++ кода, нуждающегося в поддержке ему до конца жизни хватит, а своими икспердными заявлениями он может отбить желание у молодежи связываться с Rust, тем самым загубив проект.

>поддержке
>икспердными заявлениями

ну ты понeл, да?

Хейтят макак, которые думают, что "правильный" язык заменяет проектирование, тесты и голову на плечах.

Претензии предъявляют, однако, не к
> проектирование, тесты и голову на плечах.

а к языку

Когда ты фигачигь mvp нормальный язык действительно все заменяет. Потом ты просто все это выкидываешь и уже как положено.

Есть критика, а есть хейт.

Критика зачастую рациональна, и чем знание инструмента глубже, тем она сильней и обоснованней.
Критика нужна. Контраргументы, предложения, обсуждения, возражения — все они помогают сделать язык лучше. Возможно, ее не всегда приятно слышать, но тем не менее.

А есть хейт. Абстрактные, иррациональные чувства _по поводу_. Они в обосновании не нуждаются, и цели как таковой могут не нести: выплеснуть раздражение, самоутвердиться там, или попросту подтвердить для себя свои же убеждения. Искать в них логику — занятие неблагодарное, вопрос о понимании _причин_ лежит не столько в области работы с возражениями/критикой, как в области прикладной психологии. Делать это в Сети слегка наивно, как по мне, потому что в интернетах всегда кто-то не прав©.

ждем firewall для инструкций cpu

> ждем firewall для инструкций cpu

Куча их, разной степени интерактивности и гуйности -- дебагерами называют.

Кстати для линуксов нет пристойного дебуггера, чтобы работать непосредственно с инструкциями cpu.

Есть же firejail.

А это для неосиляторов. ;)

Почему?

А причем здесь модное слово - "межсетевой экран", если это для локальной машины ?
Слово "сеть" здесь каким боком ?

>подобие

Знаешь ли ты значение этого слова?

Брандмауэр и фаеволл, кажись, 19-го века слова. Или ранее. Из строительства.

Допустим, но они из другой сферы деятельности, потому допустимо схожее иное значение. Здесь же попытка переопределения слова в рамках одной сферы деятельности.

Огненная стена появилась несколько раньше, когда кочевники на попытку вторжения научились поджигать степь (если ветер дул в сторону противника) - и гори оно все ...
Потом стало использоваться в сказках (типа колдун 80lvl знатное колдунство, но наших рыцарей это не остановило, ибо отступать было некуда, так что намочив портки мы прорвались), при тушении пожаров, ну и дошло до компьютеров.

Стена не огненная, а противопожарная. fire - это не только огонь, но и пожар.

> Стена не огненная, а противопожарная. fire - это не только огонь, но
> и пожар.

пожар это огонь

Какой-то поток сознания и фантазий...

> ну и дошло до компьютеров

Тоже стали жечь? :)

Не только жечь, но стали даже запекать (bake) физику в 3d пакетах. Что только не делают с этими вашими инторнетами... компутерами...

SELinux почему-то "все" выключают. С чего бы не попроблвать что-то более удачное в настройке пользователем десктопа.

Попроблевать?

> лицензия не указана

Проприетарщина.

Ванга?

После заведения тикета, автор указал лицензию - LGPL.

Удивляет, почему такие вещи только НАЧИНАЮТ(!!!!) писать!! Да первый же коммерческий Линукс-сервер должен был озаботиться подобной защитой! И не тупыми rwx с неуклюжими группами, а по-программная защита. Мне нет никакого интереса запускать все программы от личного имени - мне нужна защита для каждой программы отдельно - чтобы если я запускаю условный Ворд, то он вообще ничего не мог читать, даже собственный каталог модулей, а писал только в одну конкретную подпапку моего home.
И защищать надо не по факту вызова, а ещё на этапе загрузки - мы же 100% знаем, какой системный вызов импортирует программа - вот в этой таблице импорта и проводить чистку.
Или нам что-то недоговаривают о возможностях этой свежеиспечённой "защиты", или она убога.

> Удивляет, почему такие вещи только НАЧИНАЮТ(!!!!) писать!!

Алеша, ну ты че??? все это есть давным-давно уже!!!
гугли ядро hardened на предмет доступа мандатного. читай про селинукс, си-группс,appArmor в конце-концов - это про ограничения...
если ты чего-то не знаешь, то наверное не стоит об этом орать на все интернеты, да еще БОЛЬШИМИ БУКВАМИ, уведомляя тем самым всех во всеуслышания о бездонных глубинах своего невежества.. почитал бы лучше, что ли, чего-нить на тему, о которой орать собрался во всю глотку..

Удивляет, почему столько возмущения от незнания давно существующих инструментов.
# dnf install firejail
# firecfg
$ libreoffice

> Удивляет, почему такие вещи только НАЧИНАЮТ(!!!!) писать!!

Это не венда и не дос. В смысле, последнее время разница потихоньку стирается, но как раз сейчас такие вещи и начинают появляться.

> Да первый же коммерческий Линукс-сервер должен был озаботиться подобной защитой!

Коммерцию тянет в копроративщину, а там SELinux.

Походу годнота хоть и на расте

>планируется добавить <...> средства для сохранения состояния процесса в файл

Заблокировать доступ на запись и смотреть, как оно мучается?... Для любителей запрета самим себе доступа по ssh на удалённых серверах - самое оно, вечерок скоротать.

Каждый системный вызов попадает в обработчик на хрусте? Шшшпасибо, но нет.
Ещё бы на node.js.

Давай на php

Лицензию указал, LGPL