Як вирішити “операцію ptrace не дозволено” при спробі приєднати GDB до процесу?

Я намагаюся підключити програму за допомогою gdb, але вона повертає:

Приєднання до процесу 29139
Не вдалося долучити до процесу. Якщо ваш uid відповідає uid цільового процесу, перевірте налаштування / proc / sys / kernel / yama / ptrace_scope або спробуйте ще раз як кореневий користувач. Детальніше див. У
/etc/sysctl.d/10-ptrace.conf ptrace: Операція не дозволена.

gdb-debugger повертає "Не вдалося підключити до процесу, перевірте привілеї та повторіть спробу."

strace повертає "attach: ptrace (PTRACE_ATTACH, ...): Операція не дозволена"

Я змінив "kernel.yama.ptrace_scope" 1 на 0 і /proc/sys/kernel/yama/ptrace_scope1 на 0 і спробував set environment LD_PRELOAD=./ptrace.soз цим:

#include <stdio.h>
int ptrace(int i, int j, int k, int l) {
    printf(" ptrace(%i, %i, %i, %i), returning -1\n", i, j, k, l);
    return 0;
}

Але це все одно повертає ту саму помилку. Як я можу приєднати його до налагоджувачів?

Якщо ви використовуєте Docker, вам, ймовірно, знадобляться такі параметри:

docker run --cap-add=SYS_PTRACE --security-opt seccomp=unconfined

Це пов'язано із затвердінням ядра в Linux; Ви можете вимкнути цю поведінку echo 0 > /proc/sys/kernel/yama/ptrace_scope, змінивши її в/etc/sysctl.d/10-ptrace.conf

Див. Також цю статтю про це у Fedora 22 (із посиланнями на документацію) та цю тему коментарів щодо Ubuntu та.

Я хотів би додати, що мені потрібні --security-opt apparmor=unconfinedбули параметри, про які згадав @wisbucky. Це було в Ubuntu 18.04 (як клієнт Docker, так і хост). Отже, повний виклик для увімкнення налагодження gdb всередині контейнера:

docker run --cap-add=SYS_PTRACE --security-opt seccomp=unconfined --security-opt apparmor=unconfined

Я не дуже звертався до вищезазначеного випадку використання, але у мене була така проблема:

Проблема : Бувало, що я запускав свою програму sudo, тому при запуску gdb це дало мені ptrace: Operation not permitted.

Рішення :sudo gdb ...

Відповідь Джесупа правильна; це пов'язано із затвердінням ядра Linux. У моєму випадку я використовую Docker Community для Mac, і для того, щоб змінити прапор, я повинен увійти до оболонки LinuxKit, використовуючи nsenter Джастіна Кормака (посилання: https://www.bretfisher.com/docker-for-mac-commands -для потрапляння в-local-docker-vm / ).

docker run -it --rm --privileged --pid=host justincormack/nsenter1

/ # cat / etc / issue

Ласкаво просимо до LinuxKit

                    ##         .
              ## ## ##        ==
           ## ## ## ## ##    ===
       /"""""""""""""""""\___/ ===
      {                       /  ===-
       \______ O           __/
         \    \         __/
          \____\_______/

/ # cat / proc / sys / kernel / yama / ptrace_scope

1

/ # echo 0> / proc / sys / kernel / yama / ptrace_scope

/ # вихід

Можливо, хтось приєднав цей процес до gdb.

• ps -ef | grep gdb

не вдається gdb приєднати один і той же процес двічі.

Я запускав свій код із вищими привілеями для роботи з Ethernet Raw Sockets, встановивши команду set capability у розподілі Debian. Я спробував наведене вище рішення: echo 0 > /proc/sys/kernel/yama/ptrace_scope або змінивши його, /etc/sysctl.d/10-ptrace.confале це не допомогло мені.

Крім того, я також спробував з набір можливостей команди для GDB у встановленій директорії (USR / бен / GDB) , і вона працює: /sbin/setcap CAP_SYS_PTRACE=+eip /usr/bin/gdb. Обов’язково виконайте цю команду з правами root.

Просто хочу наголосити на відповідній відповіді . Скажімо, ви кореневі і зробили:

strace -p 700

і отримати:

strace: attach: ptrace(PTRACE_SEIZE, 700): Operation not permitted

Перевірка:

cat /proc/700/status | grep TracerPid

Якщо ви бачите щось на зразок TracerPid: 12, тобто не нульове значення, це PID програми, яка вже використовує системний виклик ptrace . Як gdbі straceвикористовувати його, і може бути тільки один активний на один раз.

Якщо дозволи є проблемою, ви, мабуть, захочете використовувати gdbserver. (Я майже завжди використовую gdbserver, коли використовую gdb, docker чи ні, з багатьох причин.) Вам знадобиться gdbserver (Deb) або gdb-gdbserver (RH), встановлений в образі докера. Запустіть програму в docker з

$ sudo gdbserver :34567 myprogram arguments

(виберіть номер порту, 1025-65535). Потім у gdb на хості скажіть

(gdb) target remote 172.17.0.4:34567

де 172.17.0.4IP-адреса образу докера, як повідомляється /sbin/ip addr listзапуском у образі докера. Це кріпиться в точці перед mainзапуском. Ви можете tb mainі cзупинитися на mainабо де завгодно. Запустіть gdb під cgdb, emacs, vim, або навіть в якійсь IDE, або просто. Ви можете запустити gdb у своєму джерелі або побудувати дерево, щоб воно знало, де все знаходиться. (Якщо він не може знайти ваші джерела, скористайтеся dirкомандою.) Зазвичай це набагато краще, ніж запустити його в образі докера.

gdbserver покладається ptrace, тому вам також потрібно буде виконати інші дії, запропоновані вище. --privileged --pid=hostмені вистачало.

Якщо ви розгортаєтеся в інших ОС або вбудованих цілях, ви можете запустити там gdbserver або gdb-заглушку і запускати gdb таким же чином, підключаючись через реальну мережу або навіть через послідовний порт ( /dev/ttyS0).

Я збирався відповісти на це старе запитання, оскільки воно не приймається, і будь-які інші відповіді не зрозумілі. Справжня відповідь може бути вже написана, /etc/sysctl.d/10-ptrace.confяк це є в моєму випадку під Ubuntu. Цей файл говорить:

Для програм, що запускають обробники збоїв, які потребують PTRACE, налагоджувач може зареєструвати винятки, вказавши в обробнику segfault конкретно, який процес буде використовувати PTRACE на налагоджувачеві: prctl (PR_SET_PTRACER, debugger_pid, 0, 0, 0);

Тож просто виконайте те саме, що і вище: збережіть /proc/sys/kernel/yama/ptrace_scopeяк 1 і додайте prctl(PR_SET_PTRACER, debugger_pid, 0, 0, 0);в налагоджувач. Тоді налагоджувач дозволить налагоджувачу його налагоджувати. Це працює sudoбез перезавантаження та без.

Зазвичай налагоджувачеві також потрібно зателефонувати, waitpidщоб уникнути виходу після аварії, щоб налагоджувач міг знайти pid відладчика.

Я не знаю, що ви робите з LD_PRELOAD або функцією ptrace.

Чому б вам не спробувати приєднати gdb до дуже простої програми? Створіть програму, яка просто неодноразово друкує Hello або щось інше, і використовуйте gdb --pid [привіт програма PID], щоб приєднати до неї.

Якщо це не спрацює, тоді у вас дійсно є проблема.

Інша проблема - це ідентифікатор користувача. Чи програма, яку ви відстежуєте, встановлює себе на інший UID? Якщо це так, то ви не зможете простежити його, якщо не використовуєте той самий ідентифікатор користувача або не є root.

Я зіткнувся з тією ж проблемою і спробую багато рішень, але, нарешті, я знайшов рішення, але насправді я не знаю, в чому була проблема. Спочатку я змінив значення ptrace_conf та увійшов до Ubuntu як корінь, але проблема все ще з'являється. Але найдивніше, що трапилось, - це те, що gdb показав мені повідомлення, яке говорить:

Could not attach to process. If your uid matches the uid of the target process, check the setting of /proc/sys/kernel/yama/ptrace_scope, or try again as the root user.
For more details, see /etc/sysctl.d/10-ptrace.conf warning: process 3767 is already traced by process 3755 ptrace: Operation not permitted.

За допомогою командного терміналу ps процес 3755 не був перелічений.

Я знайшов процес 3755 у / proc / $ pid, але я не розумію, що це було !!

Нарешті, я видалив цільовий файл (foo.c), який намагаюся приєднати до програми vid gdb і tracer c, використовуючи системний виклик PTRACE_ATTACH, а в іншій папці створив іншу програму c та скомпілював її.

проблема вирішена, і мені було дозволено підключатись до іншого процесу за допомогою gdb або ptrace_attach syscall.

(gdb) attach 4416

Attaching to process 4416

і я відправляю багато сигналів на обробку 4416. Я перевірив це як з gdb, так і з ptrace, обидва вони працюють правильно.

дійсно я не знаю проблему, що було, але я думаю, що це не помилка в Ubuntu, оскільки на неї посилаються багато сайтів, наприклад /ubuntu/143561/why-wont-strace- gdb-attach-to-a-process-even-хотя-im-root

Додаткова інформація

Якщо ви хочете внести зміни в інтерфейси, наприклад, додати мост ovs, ви повинні використовувати --privilegedзамість --cap-add NET_ADMIN.

sudo docker run -itd --name=testliz --privileged --cap-add=SYS_PTRACE --security-opt seccomp=unconfined ubuntu