Microsoft Ρ€Π°Π·Π²ΠΈΠ²Π°Π΅Ρ‚ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΡƒΡŽ систСму sandbox-изоляции Litebox

ДТСймс ΠœΠΎΡ€Ρ€ΠΈΡ (James Morris), мэйнтСнСр подсистСмы обСспСчСния бСзопасности ядра Linux, Π²ΠΎΠ·Π³Π»Π°Π²Π»ΡΡŽΡ‰ΠΈΠΉ Π² ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ Microsoft ΠΊΠΎΠΌΠ°Π½Π΄Ρƒ Β«Linux Emerging TechnologiesΒ», прСдставил ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ Litebox, ΠΏΠΎΠ·ΠΈΡ†ΠΈΠΎΠ½ΠΈΡ€ΡƒΠ΅ΠΌΡ‹ΠΉ ΠΊΠ°ΠΊ сфокусированная Π½Π° бСзопасности опСрационная систСма Π² Ρ„ΠΎΡ€ΠΌΠ΅ Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ (Library OS). Litebox ΠΌΠΎΠΆΠ΅Ρ‚ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ Π² ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ°Ρ… ΠΈΠ»ΠΈ ядрах ΠΊΠ°ΠΊ Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹ΠΉ слой изоляции, Π±Π»ΠΎΠΊΠΈΡ€ΡƒΡŽΡ‰ΠΈΠΉ доступ ΠΊ излишнСй Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ ядСр ΠΈΠ»ΠΈ API для сниТСния повСрхности Π°Ρ‚Π°ΠΊ. Код ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° написан Π½Π° языкС Rust ΠΈ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ ΠΏΠΎΠ΄ Π»ΠΈΡ†Π΅Π½Π·ΠΈΠ΅ΠΉ MIT.

ИдСя Β«Library OSΒ» Π² Ρ‚ΠΎΠΌ, Ρ‡Ρ‚ΠΎ сСрвисы ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ систСмы Π½Π°ΠΏΡ€ΡΠΌΡƒΡŽ Π²ΡΡ‚Ρ€Π°ΠΈΠ²Π°ΡŽΡ‚ΡΡ Π² ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ вмСсто обращСния ΠΊ Π²Π½Π΅ΡˆΠ½Π΅ΠΌΡƒ ядру ОБ ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ систСмных Π²Ρ‹Π·ΠΎΠ²ΠΎΠ². Π’ контСкстС Litebox ΠΊ прилоТСниям ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ ΠΈΠ·ΠΎΠ»ΠΈΡ€ΡƒΡŽΡ‰Π°Ρ прослойка, ΠΏΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»ΡΡŽΡ‰Π°Ρ ΠΌΠΈΠ½ΠΈΠΌΠ°Π»ΡŒΠ½ΡƒΡŽ ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡƒ, Ρ‚Ρ€Π°Π½ΡΠ»ΠΈΡ€ΡƒΡŽΡ‰ΡƒΡŽ запросы ΠΊ Π²Π½Π΅ΡˆΠ½Π΅ΠΌΡƒ ΠΏΠΎΠ»Π½ΠΎΡ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½ΠΎΠΌΡƒ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½ΠΎΠΌΡƒ интСрфСйсу. Π’ качСствС ΠΏΠΎΠ΄ΠΎΠ±Π½Ρ‹Ρ… Π²Π½Π΅ΡˆΠ½ΠΈΡ… интСрфСйсов ΠΌΠΎΠ³ΡƒΡ‚ Π²Ρ‹ΡΡ‚ΡƒΠΏΠ°Ρ‚ΡŒ ядро Linux, Π·Π°Ρ‰ΠΈΡ‰Ρ‘Π½Π½Ρ‹Π΅ ΠΈΠ·ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ окруТСния OP-TEE (Open Portable Trusted Execution Environment), Webassembly-окруТСния ΠΈΠ»ΠΈ стандартная Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠ° RustStd.

 Microsoft Ρ€Π°Π·Π²ΠΈΠ²Π°Π΅Ρ‚ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΡƒΡŽ систСму sandbox-изоляции Litebox

ЀормируСмая Ρ‡Π΅Ρ€Π΅Π· Litebox минимальная ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠ° ΠΏΡ€ΠΈΠΌΠ΅Π½ΠΈΠΌΠ° для запуска ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ Linux, Windows ΠΈ FreeBSD, Π²Π»ΠΎΠΆΠ΅Π½Π½Ρ‹Ρ… ядСр Linux ΠΈ LVBS (Linux Virtualization Based Security). Π’ качСствС Π²ΠΎΠ·ΠΌΠΎΠΆΠ½Ρ‹Ρ… областСй примСнСния Litebox упоминаСтся обСспСчСния запуска Π½Π΅ΠΌΠΎΠ΄ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Ρ… Linux-ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ Π² Windows, изоляция выполнСния Linux-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ Π½Π° систСмах с ядром Linux, запуск ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ ΠΏΠΎΠ²Π΅Ρ€Ρ… AMD SEV SNP для ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ памяти, Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ OP-TEE-ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ Π² Linux ΠΈ изоляция с использованиСм ΠΊΠΎΠ½Ρ†Π΅ΠΏΡ†ΠΈΠΈ LVBS.

ΠŸΡ€ΠΎΠ΅ΠΊΡ‚ LVBS, прСдставитили ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ ΡƒΡ‡Π°ΡΡ‚Π²ΡƒΡŽΡ‚ Π² Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ Litebox, Ρ€Π°Π·Π²ΠΈΠ²Π°Π΅Ρ‚ ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹ для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚ΠΎΠ² ядра Linux, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΠ΅ возмоТности Π³ΠΈΠΏΠ΅Ρ€Π²ΠΈΠ·ΠΎΡ€ΠΎΠ² ΠΈ Π°ΠΏΠΏΠ°Ρ€Π°Ρ‚Π½ΠΎΠΉ Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ. НапримСр, ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ Π³ΠΈΠΏΠ΅Ρ€Π²ΠΈΠ·ΠΎΡ€Π° ΠΌΠΎΠ³ΡƒΡ‚ ΠΈΠ·ΠΎΠ»ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒΡΡ ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΈ контроля подлинности ΠΌΠΎΠ΄ΡƒΠ»Π΅ΠΉ, Π²Π΅Ρ€ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ, управлСния доступом ΠΊ паролям, ΠΊΠ»ΡŽΡ‡Π°ΠΌ, структурам ядра ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠΌ критичСски Π²Π°ΠΆΠ½Ρ‹ΠΌ рСсурсам. Π’ случаС эксплуатации уязвимости ΠΈ ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ ядра, Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠΉ Π½Π΅ смоТСт ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ доступ ΠΊ ΠΏΠΎΠ΄ΠΎΠ±Π½Ρ‹ΠΌ рСсурсам, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ ΠΈΡ… ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΈ Π²Ρ‹ΠΏΠΎΠ»Π½ΡΡŽΡ‚ΡΡ Π²Π½Π΅ Ρ‚Π΅ΠΊΡƒΡ‰Π΅Π³ΠΎ уровня ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΉ. Litebox рассматриваСтся контСкстС ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° LVBS ΠΊΠ°ΠΊ «бСзопасноС ядро», Π·Π°Ρ‰ΠΈΡ‰Π°ΡŽΡ‰Π°Ρ ΠΎΠ±Ρ‹Ρ‡Π½ΠΎΠ΅ ядро гостСвой систСмы ΠΏΡ€ΠΈ ΠΏΠΎΠΌΠΎΡ‰ΠΈ Π°ΠΏΠΏΠ°Ρ€Π°Ρ‚Π½ΠΎΠΉ Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru

Π°Π²Π°Ρ‚Π°Ρ€ Π°Π²Ρ‚ΠΎΡ€Π°
Erik Peterson Π Π΅Π΄Π°ΠΊΡ‚ΠΎΡ€, ΠœΠ΅Π½Π΅Π΄ΠΆΠ΅Ρ€
A ProHoster specialist with over seven years of experience in hosting, network infrastructure, and internet security. I participate in the development and maintenance of server solutions, VPN services, and client platforms. I specialize in stability, data protection, and service optimization for clients. I regularly monitor updates in industry standards and best practices.

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ