පොරොන්දු හුදකලා යාන්ත්‍රණය ලිනක්ස් වෙත ගෙනයාමට සැලසුම් කර ඇත

මෑතකදී Cosmopolitan C සම්මත පුස්තකාලයේ කතුවරයා සහ Redbean වේදිකාව විසින් නිවේදනය කරන ලදී ලිනක්ස් සඳහා ප්‍රතිඥාව() හුදකලා යාන්ත්‍රණය ක්‍රියාත්මක කිරීම නිවේදනය කරන ලදී.

මුලින් OpenBSD ව්‍යාපෘතිය මගින් සංවර්ධනය කරන ලදී y තෝරා ගැනීම තහනම් කිරීමට ඔබට ඉඩ සලසයියෙදුම් භාවිතයට නොගත් පද්ධති ඇමතුම් වෙත ප්‍රවේශ වේ (යෙදුම සඳහා පද්ධති ඇමතුම් වල සුදු ලැයිස්තුවක් සාදනු ලබන අතර අනෙකුත් ඇමතුම් තහනම් වේ). Linux හි ඇති seccomp වැනි syscall ප්‍රවේශ පාලන යාන්ත්‍රණ මෙන් නොව, ප්‍රතිඥා යාන්ත්‍රණය හැකිතාක් පරිශීලක-හිතකාමී වන පරිදි බිම් මට්ටමේ සිට නිර්මාණය කර ඇත.

systrace යාන්ත්‍රණය භාවිතයෙන් OpenBSD පදනම් පරිසරයේ යෙදුම් හුදකලා කිරීමේ අසාර්ථක මුලපිරීම පෙන්නුම් කළේ තනි පද්ධති ඇමතුම් මට්ටමින් හුදකලා වීම ඉතා සංකීර්ණ සහ කාලය ගතවන බවයි.

විකල්පයක් ලෙස, ප්‍රතිඥාව යෝජනා කරන ලදී විස්තර වලට නොගොස් සහ සූදානම් කළ ප්‍රවේශ පන්ති හැසිරවීමකින් තොරව හුදකලා නීති නිර්මාණය කිරීමට අවසර ඇත.

උදාහරණයක් ලෙස, stdio (ආදාන/ප්‍රතිදානය), rpath (ගොනු පමණක් කියවන්න), wpath (ගොනු ලිවීම), cpath (ගොනු සාදන්න), tmppath (තාවකාලික ගොනු සමඟ වැඩ කිරීම), inet (sockets ජාලය), unix (unix sockets) යන පන්ති ඉදිරිපත් කෙරේ. ), dns (DNS විභේදනය), getpw (පරිශීලක දත්ත ගබඩාවට ප්‍රවේශය කියවන්න), ioctl (ioctl ඇමතුම), proc (ක්‍රියාවලි පාලනය), exec (ආරම්භක ක්‍රියාවලි) සහ id (අවසර පාලනය).

පද්ධති ඇමතුම් සමඟ වැඩ කිරීමේ නීති අවසර ලත් පද්ධති ඇමතුම් පන්ති ලැයිස්තුවක් ඇතුළත් අනුසටහන් ආකාරයෙන් දක්වා ඇත සහ ප්‍රවේශයට අවසර දී ඇති ගොනු මාර්ග මාලාවක්. නවීකරණය කරන ලද යෙදුම සම්පාදනය කර ක්‍රියාත්මක කිරීමෙන් පසු, කර්නලය නිශ්චිත නීතිවලට අනුකූල වීම නිරීක්ෂණය කිරීමේ කාර්යය භාර ගනී.

වෙනමම, FreeBSD සඳහා පොරොන්දුව ක්‍රියාත්මක කිරීම සංවර්ධනය වෙමින් පවතින අතර, එය යෙදුම්වල කේතයේ වෙනස්කම් නොකර හුදකලා කිරීමේ හැකියාවෙන් කැපී පෙනේ, OpenBSD හි පොරොන්දු ඇමතුම මූලික පරිසරය සමඟ දැඩි ලෙස ඒකාබද්ධ කිරීම සහ කේතයට විවරණ එකතු කිරීම අරමුණු කර ගෙන ඇත. එක් එක්.

ලොක්කා කිව්වම ලිනක්ස් වගේ දේවල් පාවිච්චි කරන්න ඕන කියල අපි කවුරුත් ආසා කරන තහනම් පලතුරක් වගෙයි පොරොන්දුව. එය වැදගත් වන්නේ ඇයි? ඒ ප්‍රතිඥාව () ඇත්ත වශයෙන්ම ආරක්ෂාව තේරුම් ගත හැකි බැවිනි. Linux හට කිසිවිටෙකත් මිනිසුන්ට තේරුම් ගත හැකි ආරක්ෂිත ස්ථරයක් නොතිබුණි.

Linux ප්‍රතිඥා වරායේ සංවර්ධකයින් FreeBSD වෙතින් ඉඟියක් ලබා ගත්හ සහ කේත වෙනස් කිරීම වෙනුවට, ඔවුන් යෙදුම් කේතය වෙනස් නොකර සීමාවන් යෙදීමට ඔබට ඉඩ සලසන අතිරේක උපයෝගීතාවයක් pledge.com වෙතින් සකස් කරන ලදී. උදාහරණයක් ලෙස, stdio, rpath, inet, සහ threadstdio පද්ධති ඇමතුම් පන්ති වෙත පමණක් ප්‍රවේශය සහිත curl උපයෝගීතාව ධාවනය කිරීමට, සරලව ධාවනය කරන්න "./pledge.com -p 'stdio rpath inet thread' curl http://example.com » .

RHEL6 සිට සියලුම ලිනක්ස් බෙදාහැරීම් මත උපයෝගීතාව ක්‍රියා කරයි සහ root ප්රවේශය අවශ්ය නොවේ. මීට අමතරව, කොස්මොපොලිටන් පුස්තකාලය මත පදනම්ව, C භාෂා වැඩසටහන් කේතයේ සීමාවන් කළමනාකරණය කිරීම සඳහා API සපයනු ලැබේ, වෙනත් දේ අතර, යෙදුමේ ඇතැම් කාර්යයන් සම්බන්ධයෙන් ප්‍රවේශය තෝරා ගැනීම සීමා කිරීම සඳහා enclaves නිර්මාණය කිරීමට ඉඩ සලසයි.

මේක ට්‍රයි කරපු සංවර්ධකයෝ කීපදෙනෙක් ඉස්සර ඉඳලා තියෙනවා. මම නම් කියන්න යන්නේ නැහැ, මොකද මේ බොහෝ ව්‍යාපෘති කිසිදා නිම නොකළ නිසා. SECOMP සම්බන්ධයෙන් ගත් කල, මාර්ගගත නිබන්ධන මඟින් පද්ධති ඇමතුම් සුදු ලැයිස්තුගත කරන ආකාරය පමණක් පැහැදිලි කරයි, එබැවින් බොහෝ පුද්ගලයින් තර්ක පෙරහන් කරන්නේ කෙසේදැයි සොයා ගැනීමට පෙර උනන්දුව නැති කර ගනී. ඉදිරියට ගිය ව්‍යාපෘති වලට setuid/setgid/sticky bits වෙනස් කිරීමට ඉඩ දීම වැනි අධීක්‍ෂණ ද තිබුණි. එබැවින් දැනට පවතින විකල්ප කිසිවක් භාවිතා නොකළ යුතුය. මෙම ප්‍රයත්නය වෙන කවරදාකටත් වඩා ප්‍රතිඥාවක් () ලබා ගැනීමට අපව ළං කරයි යැයි මම සිතමි.

ක්‍රියාත්මක කිරීම සඳහා කර්නල් වෙනස්කම් අවශ්‍ය නොවේ: උපයෝගිතා සීමාවන් SECCOMP BPF රීතිවලට පරිවර්තනය කර Linux හි ස්වදේශීය පද්ධති ඇමතුම් හුදකලා යාන්ත්‍රණය භාවිතයෙන් සකසනු ලැබේ. උදාහරණයක් ලෙස, පොරොන්දුව ("stdio rpath", 0) ඇමතීම BPF පෙරහනක් බවට පරිවර්තනය වේ

අවසාන වශයෙන්, ඔබ ඒ ගැන වැඩි විස්තර දැන ගැනීමට උනන්දුවක් දක්වන්නේ නම් ඔබට විස්තර විමසිය හැකිය පහත සබැඳියේ.


ලිපියේ අන්තර්ගතය අපගේ මූලධර්මවලට අනුකූල වේ කතුවැකි ආචාර ධර්ම. දෝෂයක් වාර්තා කිරීමට ක්ලික් කරන්න මෙන්න.

අදහස් පළ කිරීමට ප්රථම වන්න

ඔබේ අදහස තබන්න

ඔබේ ඊ-මේල් ලිපිනය පළ කරනු නොලැබේ. අවශ්ය ක්ෂේත්ර දක්වා ඇති ලකුණ *

*

*

  1. දත්ත සඳහා වගකිව යුතු: මිගෙල් ඇන්ජල් ගැටන්
  2. දත්තවල අරමුණ: SPAM පාලනය කිරීම, අදහස් කළමනාකරණය.
  3. නීත්‍යානුකූලභාවය: ඔබේ කැමැත්ත
  4. දත්ත සන්නිවේදනය: නෛතික බැඳීමකින් හැර දත්ත තෙවන පාර්ශවයකට සන්නිවේදනය නොකෙරේ.
  5. දත්ත ගබඩා කිරීම: ඔක්සෙන්ටස් නෙට්වර්ක්ස් (EU) විසින් සත්කාරකත්වය දක්වන දත්ත සමුදාය
  6. අයිතිවාසිකම්: ඕනෑම වේලාවක ඔබට ඔබේ තොරතුරු සීමා කිරීමට, නැවත ලබා ගැනීමට සහ මකා දැමීමට හැකිය.