פרויקט להעברת מנגנון בידוד המשכון ללינוקס

מחבר ספריית Cosmopolitan standard C ופלטפורמת Redbean הכריזה על הטמעת מנגנון הבידוד pledge() עבור לינוקס. Pledge פותח במקור על ידי פרויקט OpenBSD ומאפשר לך לאסור באופן סלקטיבי על יישומים לגשת לשיחות מערכת שאינן בשימוש (נוצרת מעין רשימה לבנה של קריאות מערכת לאפליקציה, ושיחות אחרות אסורות). בניגוד למנגנוני הגבלת שיחות המערכת הזמינים בלינוקס, כגון seccomp, מנגנון ההבטחה תוכנן במקור להיות פשוט ככל האפשר.

היוזמה הכושלת לבודד יישומים בסביבת הבסיס של OpenBSD באמצעות מנגנון ה-systrace הראתה שבידוד ברמת קריאות מערכת בודדות היה מורכב מדי וגוזל זמן. כחלופה הוצעה התחייבות שאיפשרה ליצור כללי בידוד מבלי להיכנס לפרטים ולתמרן שיעורי גישה מוכנים. לדוגמה, המחלקות המוצעות הן stdio (קלט/פלט), rpath (קבצים לקריאה בלבד), wpath (כתיבת קבצים), cpath (יצירת קבצים), tmppath (עבודה עם קבצים זמניים), inet (שקעי רשת), unix ( unix sockets), dns (רזולוציית DNS), getpw (גישת קריאה למסד הנתונים של המשתמש), ioctl (קריאה ל-ioctl), proc (ניהול תהליכים), exec (השקת תהליך) ו-id (ניהול זכויות גישה).

כללים לעבודה עם קריאות מערכת מצוינים בצורה של הערות, כולל רשימה של מחלקות מותרות של קריאות מערכת ומערך של נתיבי קבצים שבהם הגישה מותרת. לאחר בנייה והשקה של האפליקציה ששונתה, הליבה משתלטת על עבודת הפיקוח על עמידה בכללים שצוינו.

פותח יישום נפרד של pledge ל-FreeBSD, אשר מתאפיין ביכולת לבודד יישומים מבלי לבצע שינויים בקוד שלהם, בעוד ב-OpenBSD קריאת ה-pledge מכוונת לאינטגרציה הדוקה עם סביבת הבסיס והוספת הערות לקוד של כל אחד מהם. יישום.

המפתחים של יציאת ההבטחה ללינוקס לקחו את הדוגמה של FreeBSD ובמקום לבצע שינויים בקוד, הכינו תוכנית תוסף pledge.com המאפשרת להחיל הגבלות מבלי לשנות את קוד האפליקציה. לדוגמה, כדי להפעיל את כלי השירות curl עם גישה רק למחלקות הקריאה של מערכת stdio, rpath, inet ו-threadstdio, פשוט הפעל את "./pledge.com -p 'stdio rpath inet thread' curl http://example.com".

כלי השירות ה-pledge פועל על כל ההפצות של לינוקס החל מ-RHEL6 ואינו דורש גישת שורש. בנוסף, בהתבסס על הספרייה הקוסמופוליטית, מסופק API לניהול הגבלות בקוד התוכנית בשפת C, המאפשר, בין היתר, ליצור מובלעות להגבלת גישה סלקטיבית ביחס לפונקציות מסוימות של אפליקציה.

ההטמעה אינה מצריכה שינויים בקרנל - הגבלות ההבטחה מתורגמות לכללי SECCOMP BPF ומעובדות באמצעות מנגנון בידוד השיחות המקורי של מערכת לינוקס. לדוגמה, ה-call pledge("stdio rpath", 0) יומר ל-BPF filter static const struct sock_filter kFilter[] = { /* L0*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, syscall, 0, 14 - 1 ), / * L1*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(args[0])), /* L2*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 2, 4 - 3, 0), /* L3* / BPF_JUMP( BPF_JMP | BPF_JEQ | BPF_K, 10, 0, 13 - 4), /* L4*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(args[1])), /* L5*/ BPF_STMT(BPF_ANDALU | | BPF_K, ~0x80800), /* L6*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 1, 8 - 7, 0), /* L7*/ BPF_JUMP(BPF_JMP | BPF_JEQ | - BPF_K, 2, 0, 13) , /* L8*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(args[8])), /* L2*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 9, 0 - 12, 10), /*L0*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 10, 6 - 12, 11), /*L0*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 11, 17, 0 - 13), /*L11*/BPF_KREMT(BPF_ST,T | SECCOMP_RET_ALLOW), /*L12*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(nr)), /*L13*/ /* המסנן הבא */ };

מקור: OpenNet.ru