Проект по портированию механизма изоляции pledge для Linux

Автор стандартной Си-библиотеки Cosmopolitan и платформы Redbean объявил о реализации механизма изоляции pledge () для Linux. Изначально pledge разработан проектом OpenBSD и позволяет выборочно запретить приложениям обращения к неиспользуемым системным вызовам (для приложения формируется подобие белого списка системных вызовов, а остальные вызовы запрещаются). В отличие от доступных в Linux механизмов ограничения доступа к системным вызовам, таких как seccomp, механизм pledge изначально разработан с оглядкой на максимальное упрощение применения.

Завершившаяся неудачей инициатива изоляции приложений базового окружения OpenBSD с использованием механизма systrace показала, что изоляция на уровне отдельных системных вызовов слишком сложна и трудоёмка. В качестве альтернативы был предложен pledge, который позволял создавать правила изоляции не вникая в детали и манипулируя готовыми классами доступа. Например, предлагаются классы stdio (ввод/вывод), rpath (только чтение файлов), wpath (запись файлов), cpath (создание файлов), tmppath (работа со временными файлами), inet (сетевые сокеты), unix (unix-сокеты), dns (резолвинг в DNS), getpw (доступ на чтение к базе пользователей), ioctl (вызов ioctl), proc (управление процессами), exec (запуск процессов) и id (управление правами доступа).

Правила работы с системными вызовами задаются в форме аннотаций, включающих список разрешённых классов системных вызовов и массив файловых путей, куда разрешён доступ. После сборки и запуска модифицированного приложения, ядро берёт на себя работу по контролю соблюдения заданных правил.

Отдельно развивается реализация pledge для FreeBSD, которая отличается возможностью изоляции приложений без внесения изменений в их код, в то время как в OpenBSD вызов pledge нацелен на тесную интеграцию с базовым окружением и добавление аннотаций в код каждого приложения.

Разработчики порта pledge для Linux воспользовались примером FreeBSD и вместо внесения изменений в код подготовили утилиту-надстройку pledge.com, позволяющую применить ограничения без изменения кода приложения. Например, для запуска утилиты curl с открытиям доступа только к классам системных вызовов stdio, rpath, inet и threadstdio достаточно выполнить »./pledge.com -p 'stdio rpath inet thread' curl http://example.com».

Утилита pledge работает во всех дистрибутивах Linux, начиная с RHEL6, и не требует root-доступа. Дополнительно на базе библиотеки cosmopolitan предоставляется API для управления ограничениями в коде программ на языке Си, позволяющий в том числе создавать анклавы для выборочного ограничения доступа в привязке к определённым функциям приложения.

Реализация не требует внесения изменений в ядро — ограничения pledge транслируются в правила SECCOMP BPF и обрабатываются при помощи родного для Linux механизма изоляции системных вызовов. Например, вызов pledge («stdio rpath», 0) будет преобразован в BPF-фильтр

   static const struct sock_filter kFilter[] = {
       /* L0*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, syscall, 0, 14 - 1),
       /* L1*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(args[0])),
       /* L2*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 2, 4 - 3, 0),
       /* L3*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 10, 0, 13 - 4),
       /* L4*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(args[1])),
       /* L5*/ BPF_STMT(BPF_ALU | BPF_AND | BPF_K, ~0x80800),
       /* L6*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 1, 8 - 7, 0),
       /* L7*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 2, 0, 13 - 8),
       /* L8*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(args[2])),
       /* L9*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 0, 12 - 10, 0),
       /*L10*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 6, 12 - 11, 0),
       /*L11*/ BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, 17, 0, 13 - 11),
       /*L12*/ BPF_STMT(BPF_RET | BPF_K, SECCOMP_RET_ALLOW),
      /*L13*/ BPF_STMT(BPF_LD | BPF_W | BPF_ABS, OFF(nr)),
       /*L14*/ /* next filter */
   };



Источник: http://www.opennet.ru/opennews/art.shtml? num=57505

©  OpenNet