華為提議為 Linux 內核推出新“沙盒模式”，提高內存安全性

IT之家 2 月 15 日消息，雖然 Linux 內核已經在嘗試 Rust 編程來提高內存安全性，但華為開發(fā)者近日提出了一項針對 Linux 內核新“沙盒模式”的提案，提高內核中 C 語言代碼的內存安全性。

Linux 郵件顯示，華為云的 Petr Tesarik 發(fā)出了有關新沙盒模式的“征求意見”補丁系列，Petr 將沙盒模式描述為：

沙盒模式的最終目標是在僅允許內存訪問預定義地址的環(huán)境中執(zhí)行本機內核代碼，因此潛在的漏洞無法被利用或不會對內核的其余部分產生影響。

該補丁系列向內核添加了沙盒模式的 API 和獨立于架構的基礎設施。它在所有輸入和輸出數據的 vmalloc () 副本上運行目標函數。由于保護頁面，僅此一項就可以防止一些越界訪問。

沙盒模式文檔進行了進一步補充描述，IT之家匯總內容如下：

沙盒模式（SBM）的主要目標是通過分解內核來減少內核代碼中潛在內存安全錯誤的影響。SBM API 允許在隔離的執(zhí)行環(huán)境中運行每個組件。特別是用作輸入的內存區(qū)域和 / 或輸出與內核的其余部分隔離，并被保護頁包圍。

在實現必要的 arch hook 的架構上，沙盒模式利用硬件分頁設施和 CPU 特權級別來強制僅使用這些預定義的內存區(qū)域。有了 arch 的支持，SBM 還可以從保護違規(guī)中恢復。這意味著 SBM 強制終止沙盒并向調用者返回錯誤代碼（例如 ``-EFAULT``），以便執(zhí)行可以繼續(xù)。這種實現提供了 * 強隔離 *。

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。