서약 격리 메커니즘을 Linux로 이식하는 프로젝트

Cosmopolitan 표준 C 라이브러리와 Redbean 플랫폼의 작성자는 Linux용 promise() 격리 메커니즘 구현을 발표했습니다. Pledge는 원래 OpenBSD 프로젝트에 의해 개발되었으며 응용 프로그램이 사용되지 않는 시스템 호출에 액세스하는 것을 선택적으로 금지할 수 있습니다(응용 프로그램에 대해 일종의 시스템 호출 화이트리스트가 형성되고 다른 호출은 금지됩니다). seccomp와 같은 Linux에서 사용할 수 있는 시스템 호출 제한 메커니즘과 달리 서약 메커니즘은 원래 최대한 간단하게 설계되었습니다.

systrace 메커니즘을 사용하여 OpenBSD 기본 환경에서 애플리케이션을 격리하려는 실패한 계획은 개별 시스템 호출 수준의 격리가 너무 복잡하고 시간이 많이 걸린다는 것을 보여주었습니다. 대안으로 세부 사항을 다루거나 기성 액세스 클래스를 조작하지 않고도 격리 규칙을 만들 수 있는 서약이 제안되었습니다. 예를 들어 제공되는 클래스는 stdio(입력/출력), rpath(읽기 전용 파일), wpath(파일 쓰기), cpath(파일 생성), tmppath(임시 파일 작업), inet(네트워크 소켓), unix( unix 소켓), dns(DNS 확인), getpw(사용자 데이터베이스에 대한 읽기 액세스), ioctl(ioctl 호출), proc(프로세스 관리), exec(프로세스 시작) 및 id(액세스 권한 관리).

시스템 호출 작업에 대한 규칙은 허용되는 시스템 호출 클래스 목록과 액세스가 허용되는 파일 경로 배열을 포함하여 주석 형식으로 지정됩니다. 수정된 애플리케이션을 빌드하고 시작한 후 커널은 지정된 규칙 준수를 모니터링하는 작업을 맡습니다.

코드를 변경하지 않고 애플리케이션을 격리하는 기능으로 구별되는 FreeBSD용 별도의 서약 구현이 개발되고 있는 반면, OpenBSD에서는 서약 호출은 기본 환경과의 긴밀한 통합과 각 코드에 주석 추가를 목표로 합니다. 애플리케이션.

Linux용 서약 포트 개발자는 FreeBSD의 예를 들어 코드를 변경하는 대신 애플리케이션 코드를 변경하지 않고도 제한 사항을 적용할 수 있는 추가 유틸리티 promise.com을 준비했습니다. 예를 들어, stdio, rpath, inet 및 threadtdio 시스템 호출 클래스에만 액세스하여 컬 유틸리티를 실행하려면 "./pledge.com -p 'stdio rpath inet thread' 컬 http://example.com"을 실행하면 됩니다.

서약 유틸리티는 RHEL6부터 시작하는 모든 Linux 배포판에서 작동하며 루트 액세스가 필요하지 않습니다. 또한, 국제적인 라이브러리를 기반으로 C 언어 프로그램 코드의 제한 사항을 관리하기 위한 API가 제공됩니다. 이를 통해 특정 애플리케이션 기능과 관련된 액세스를 선택적으로 제한하기 위한 엔클레이브를 생성할 수 있습니다.

구현에는 커널 변경이 필요하지 않습니다. 서약 제한 사항은 SECCOMP BPF 규칙으로 변환되고 기본 Linux 시스템 호출 격리 메커니즘을 사용하여 처리됩니다. 예를 들어, promise("stdio rpath", 0) 호출은 BPF 필터로 변환됩니다. static const struct sock_filter kFilter[] = { /* L0*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, syscall, 0, 14 - 1 ), / * L1*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(args[0])), /* L2*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 2, 4 - 3, 0), /* L3* / BPF_JUMP( BPF_JMP | BPF_JEQ | BPF_K, 10, 0, 13 - 4), /* L4*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(args[1])), /* L5*/ BPF_STMT(BPF_ALU | BPF_AND | BPF_K, ~0x80800), /* L6*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 1, 8 - 7, 0), /* L7*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 2, 0, 13 - 8) , /* L8*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(args[2])), /* L9*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 0, 12 - 10, 0), /*L10*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 6, 12 - 11, 0), /*L11*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 17, 0, 13 - 11), /*L12*/ BPF_STMT(BPF_RET | BPF_K, SECCOMP_RET_ALLOW), /*L13*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(nr)), /*L14*/ /* 다음 필터 */ };

출처 : opennet.ru