設(shè)置
  • 日夜間
    隨系統(tǒng)
    淺色
    深色
  • 主題色

華為提議為 Linux 內(nèi)核推出新“沙盒模式”,提高內(nèi)存安全性

2024/2/15 16:51:07 來源:IT之家 作者:汪淼 責編:汪淼

IT之家 2 月 15 日消息,雖然 Linux 內(nèi)核已經(jīng)在嘗試 Rust 編程來提高內(nèi)存安全性,但華為開發(fā)者近日提出了一項針對 Linux 內(nèi)核新“沙盒模式”的提案,提高內(nèi)核中 C 語言代碼的內(nèi)存安全性。

Linux 郵件顯示,華為云的 Petr Tesarik 發(fā)出了有關(guān)新沙盒模式的“征求意見”補丁系列,Petr 將沙盒模式描述為:

沙盒模式的最終目標是在僅允許內(nèi)存訪問預(yù)定義地址的環(huán)境中執(zhí)行本機內(nèi)核代碼,因此潛在的漏洞無法被利用或不會對內(nèi)核的其余部分產(chǎn)生影響。

該補丁系列向內(nèi)核添加了沙盒模式的 API 和獨立于架構(gòu)的基礎(chǔ)設(shè)施。它在所有輸入和輸出數(shù)據(jù)的 vmalloc () 副本上運行目標函數(shù)。由于保護頁面,僅此一項就可以防止一些越界訪問。

沙盒模式文檔進行了進一步補充描述,IT之家匯總內(nèi)容如下:

沙盒模式(SBM)的主要目標是通過分解內(nèi)核來減少內(nèi)核代碼中潛在內(nèi)存安全錯誤的影響。SBM API 允許在隔離的執(zhí)行環(huán)境中運行每個組件。特別是用作輸入的內(nèi)存區(qū)域和 / 或輸出與內(nèi)核的其余部分隔離,并被保護頁包圍。

在實現(xiàn)必要的 arch hook 的架構(gòu)上,沙盒模式利用硬件分頁設(shè)施和 CPU 特權(quán)級別來強制僅使用這些預(yù)定義的內(nèi)存區(qū)域。有了 arch 的支持,SBM 還可以從保護違規(guī)中恢復(fù)。這意味著 SBM 強制終止沙盒并向調(diào)用者返回錯誤代碼(例如 ``-EFAULT``),以便執(zhí)行可以繼續(xù)。這種實現(xiàn)提供了 * 強隔離 *。

廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。

相關(guān)文章

關(guān)鍵詞:華為Linux,Linux沙盒Linux內(nèi)存,linux

軟媒旗下網(wǎng)站: IT之家 最會買 - 返利返現(xiàn)優(yōu)惠券 iPhone之家 Win7之家 Win10之家 Win11之家

軟媒旗下軟件: 軟媒手機APP應(yīng)用 魔方 最會買 要知