प्रतिज्ञा अलगाव तंत्र को लिनक्स में पोर्ट करने की परियोजना

कॉस्मोपॉलिटन मानक सी लाइब्रेरी और रेडबीन प्लेटफ़ॉर्म के लेखक ने लिनक्स के लिए प्रतिज्ञा() अलगाव तंत्र के कार्यान्वयन की घोषणा की है। प्लेज मूल रूप से ओपनबीएसडी परियोजना द्वारा विकसित किया गया था और आपको अनुप्रयोगों को अप्रयुक्त सिस्टम कॉल तक पहुंचने से चुनिंदा रूप से प्रतिबंधित करने की अनुमति देता है (एप्लिकेशन के लिए सिस्टम कॉल की एक प्रकार की सफेद सूची बनाई जाती है, और अन्य कॉल निषिद्ध हैं)। Linux में उपलब्ध सिस्टम कॉल प्रतिबंध तंत्र, जैसे कि seccomp, के विपरीत, प्रतिज्ञा तंत्र को मूल रूप से यथासंभव सरल बनाया गया था।

सिस्ट्रेस तंत्र का उपयोग करके ओपनबीएसडी बेस वातावरण में अनुप्रयोगों को अलग करने की असफल पहल से पता चला कि व्यक्तिगत सिस्टम कॉल के स्तर पर अलगाव बहुत जटिल और समय लेने वाला था। एक विकल्प के रूप में, एक प्रतिज्ञा प्रस्तावित की गई, जिसने विवरणों में जाने और तैयार पहुंच वर्गों में हेरफेर किए बिना अलगाव नियम बनाना संभव बना दिया। उदाहरण के लिए, प्रस्तावित कक्षाएं हैं stdio (इनपुट/आउटपुट), rpath (केवल पढ़ने योग्य फ़ाइलें), wpath (फ़ाइलें लिखें), cpath (फ़ाइलें बनाएं), tmppath (अस्थायी फ़ाइलों के साथ काम करें), inet (नेटवर्क सॉकेट), यूनिक्स ( यूनिक्स सॉकेट), डीएनएस (डीएनएस रेजोल्यूशन), गेटपीडब्ल्यू (उपयोगकर्ता डेटाबेस तक पहुंच पढ़ें), आईओसीटीएल (आईओसीटीएल कॉल), प्रोक (प्रक्रिया प्रबंधन), कार्यकारी (प्रक्रिया लॉन्च) और आईडी (पहुंच अधिकार प्रबंधन)।

सिस्टम कॉल के साथ काम करने के नियम एनोटेशन के रूप में निर्दिष्ट हैं, जिसमें सिस्टम कॉल की अनुमत कक्षाओं की सूची और फ़ाइल पथों की एक सरणी शामिल है जहां पहुंच की अनुमति है। संशोधित एप्लिकेशन के निर्माण और लॉन्च के बाद, कर्नेल निर्दिष्ट नियमों के अनुपालन की निगरानी का काम अपने हाथ में ले लेता है।

फ्रीबीएसडी के लिए प्रतिज्ञा का एक अलग कार्यान्वयन विकसित किया जा रहा है, जो कि उनके कोड में बदलाव किए बिना अनुप्रयोगों को अलग करने की क्षमता से अलग है, जबकि ओपनबीएसडी में प्रतिज्ञा कॉल का उद्देश्य आधार वातावरण के साथ मजबूत एकीकरण और प्रत्येक के कोड में एनोटेशन जोड़ना है। आवेदन पत्र।

लिनक्स के लिए प्लेज पोर्ट के डेवलपर्स ने फ्रीबीएसडी का उदाहरण लिया और कोड में बदलाव करने के बजाय, एक ऐड-ऑन यूटिलिटी प्लेज.कॉम तैयार किया जो आपको एप्लिकेशन कोड को बदले बिना प्रतिबंध लागू करने की अनुमति देता है। उदाहरण के लिए, कर्ल उपयोगिता को केवल stdio, rpath, inet और threadstdio सिस्टम कॉल क्लास तक पहुंच के साथ चलाने के लिए, बस "./pledge.com -p 'stdio rpath inet thread' cur http://example.com" चलाएं।

प्रतिज्ञा उपयोगिता RHEL6 से शुरू होने वाले सभी लिनक्स वितरणों पर काम करती है और इसके लिए रूट एक्सेस की आवश्यकता नहीं होती है। इसके अतिरिक्त, कॉस्मोपॉलिटन लाइब्रेरी के आधार पर, सी भाषा में प्रोग्राम कोड में प्रतिबंधों के प्रबंधन के लिए एक एपीआई प्रदान की जाती है, जो अन्य चीजों के अलावा, कुछ एप्लिकेशन फ़ंक्शंस के संबंध में चुनिंदा पहुंच को प्रतिबंधित करने के लिए एन्क्लेव बनाने की अनुमति देती है।

कार्यान्वयन के लिए कर्नेल में बदलाव की आवश्यकता नहीं है - प्रतिज्ञा प्रतिबंधों को SECCOMP BPF नियमों में अनुवादित किया जाता है और मूल लिनक्स सिस्टम कॉल आइसोलेशन तंत्र का उपयोग करके संसाधित किया जाता है। उदाहरण के लिए, कॉल प्लेज ("stdio rpath", 0) को BPF फ़िल्टर static const struct sock_filter kFilter[] = { /* L0*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, syscall, 0, 14 - 1) में बदल दिया जाएगा। ), / * L1*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(args[0])), /* L2*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 2, 4 - 3, 0), /* L3* / BPF_JUMP( BPF_JMP | BPF_JEQ | BPF_K, 10, 0, 13 - 4), /* L4*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(args[1])), /* L5*/ BPF_STMT(BPF_ALU | BPF_AND | BPF_K, ~0x80800), /* L6*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 1, 8 - 7, 0), /* L7*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 2, 0, 13 - 8) , /* L8*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(args[2])), /* L9*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 0, 12 - 10, 0), /*L10*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 6, 12 - 11, 0), /*L11*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 17, 0, 13 - 11), /*L12*/ BPF_STMT(BPF_RET | BPF_K, SECCOMP_RET_ALLOW), /*L13*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(nr)), /*L14*/ /* अगला फ़िल्टर */ };

स्रोत: opennet.ru