Проект за пренасяне на механизма за изолиране на обещания към Linux

Авторът на стандартната C библиотека на Cosmopolitan и платформата Redbean обяви внедряването на изолационния механизъм pledge() за Linux. Pledge първоначално е разработен от проекта OpenBSD и ви позволява селективно да забранявате на приложенията достъп до неизползвани системни повиквания (формира се вид бял списък със системни повиквания за приложението, а други повиквания са забранени). За разлика от механизмите за ограничаване на системните повиквания, налични в Linux, като seccomp, механизмът за обещание първоначално е проектиран да бъде възможно най-прост.

Неуспешната инициатива за изолиране на приложения в базовата среда на OpenBSD с помощта на механизма systrace показа, че изолирането на ниво отделни системни повиквания е твърде сложно и отнема много време. Като алтернатива беше предложен залог, който направи възможно създаването на правила за изолация, без да се навлиза в подробности и да се манипулират готови класове за достъп. Например предлаганите класове са stdio (вход/изход), rpath (файлове само за четене), wpath (запис на файлове), cpath (създаване на файлове), tmppath (работа с временни файлове), inet (мрежови сокети), unix ( unix sockets), dns (DNS резолюция), getpw (достъп за четене до потребителската база данни), ioctl (ioctl повикване), proc (управление на процеси), exec (стартиране на процеси) и id (управление на правата за достъп).

Правилата за работа със системни повиквания са посочени под формата на анотации, включително списък с разрешени класове системни повиквания и масив от файлови пътища, където достъпът е разрешен. След изграждането и стартирането на модифицираното приложение, ядрото поема работата по наблюдението на съответствието с посочените правила.

За FreeBSD се разработва отделна реализация на pledge, която се отличава с възможността за изолиране на приложения, без да се правят промени в техния код, докато в OpenBSD извикването на pledge е насочено към тясна интеграция с базовата среда и добавяне на анотации към кода на всяко приложение.

Разработчиците на порта за обещание за Linux взеха примера на FreeBSD и вместо да правят промени в кода, подготвиха допълнителна помощна програма pledge.com, която ви позволява да прилагате ограничения, без да променяте кода на приложението. Например, за да стартирате помощната програма curl с достъп само до класовете за системни повиквания stdio, rpath, inet и threadstdio, просто стартирайте „./pledge.com -p ‘stdio rpath inet thread’ curl http://example.com”.

Помощната програма за обещание работи на всички Linux дистрибуции, започващи с RHEL6 и не изисква root достъп. Освен това, на базата на космополитната библиотека, е предоставен API за управление на ограниченията в програмния код на езика C, което позволява, наред с други неща, да се създават анклави за селективно ограничаване на достъпа по отношение на определени функции на приложението.

Внедряването не изисква промени в ядрото - ограниченията на обещанията се превеждат в SECCOMP BPF правила и се обработват с помощта на собствения механизъм за изолиране на системни повиквания на Linux. Например обещанието за повикване ("stdio rpath", 0) ще бъде преобразувано в BPF филтър static const struct sock_filter kFilter[] = { /* L0*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, syscall, 0, 14 - 1 ), / * L1*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(args[0])), /* L2*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 2, 4 - 3, 0), /* L3* / BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 10, 0, 13 - 4), /* L4*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(args[1])), /* L5*/ BPF_STMT(BPF_ALU | BPF_AND | BPF_K, ~0x80800), /* L6*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 1, 8 - 7, 0), /* L7*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 2, 0, 13 - 8) , /* L8*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(args[2])), /* L9*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 0, 12 - 10, 0), /*L10*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 6, 12 - 11, 0), /*L11*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 17, 0, 13 - 11), /*L12*/ BPF_STMT(BPF_RET | BPF_K, SECCOMP_RET_ALLOW), /*L13*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(nr)), /*L14*/ /* следващ филтър */ };

Източник: opennet.ru