2. 程式人生 > >Chrome中Sandbox沙盒技術Linux Sandbox

Chrome中Sandbox沙盒技術Linux Sandbox

阿新 發佈:2018-12-17

Chromium OS中沙盒相關

以下各個設施均與minijail相關,與之配合執行

  • User ids
  • Capacities
  • Namespace
  • Seccomp filters
  • Securely mounting cryptohome daemon store folders

需要注意:以下技術並不完全都是chrome os的,大部分都是linux支援的。

Linux Sandboxing Summary

image
上圖包含了幾個Sandbox的分層,括號內寫了哪些東西主要用了哪些Sandbox Layer

User ids

作用:指定某個服務或應用以哪個使用者的身份執行。即minijail的-u引數。
相當於Windows的右鍵-以其它使用者身份執行。

exec minijail0 -u devbroker -c 0009 /usr/bin/permission_broker \
    --access_group=${PERMISSION_BROKER_GRANT_GROUP}

此時應用的許可權被侷限於該使用者擁有的許可權。

Capabilities

當一些非特權應用,需要一些root使用者才能呼叫的函式時,則通過Capacities將一些root才能使用的函式授權給普通許可權的程式去使用

作用:使能非root服務、程序呼叫要求root許可權的函式。

在conf檔案中對exec minijail0新增-c 引數即可開放對應的函式。

exec minijail0 -u devbroker -c 0009 /usr/bin/permission_broker \
    --access_group=${PERMISSION_BROKER_GRANT_GROUP}

其中,-c後面跟的mask指示了允許非root程式授權呼叫哪些root函式。mask的計算方法如下。

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/include/uapi/linux/capability.h
計算方法:#define CAP_TO_MASK(x)      (1 << ((x) & 31)) /* mask for indexed __u32 */

其中,-c跟著的mask值並不是一定只包含了一個函式,有可能是多個函式經過計算之後得出的mask值,而後進行相加。例如:樣例中的0009就不是隻開放了一個函式,經過計算,發現是開放了兩個函式。

通過mask得出開放的函式的計算過程如下:

  1. -c 0009:即mask為0000 0000 0000 1001
  2. 判斷開放了多少個函式的方法是看二進位制中有幾多個1。原理是:每個函式對應一個十進位制數字,該數字首先執行操作:(x) & 31,然後使用1左移得到的結果:(1 << ((x) & 31)),然後依次按照這個步驟對各個函式計算左移結果,最終將所有左移結果相加。因此二進位制中有多少1,那表明開放的函式就有多少個。
  3. 樣例中為1001,兩個1,兩個函式,其中第一個1是8,8是1右移3位得到的,所以(x) & 31就是3。
  4. (x) & 31 == 3因此x=3,查capacities.h得到對應巨集定義CAP_FOWNER,即開放的其中一個函式為fowner()

在各個服務的upstart conf檔案中找到exec minijail0,新增引數-c MASK 即可授權該服務訪問指定的root許可權函式

Namespace

Linux namespace可以將各個程序之間分隔開,使得采用了不同名稱空間的程序看到的事物檢視不相同。

作用:namespace可以讓程序擁有自己單獨的檢視,並且任何對系統的修改不會影響名稱空間之外。在名稱空間內,程序擁有獨立的、不一定等同於真實物理環境的系統環境,且自身的修改不會影響系統。

  • 名稱空間是對系統資源的包裝。
  • 同一名稱空間內的程序可以看到其他程序的修改,但是不同名稱空間之間的程序之間不能看到修改。

A namespace wraps a global system resource in an abstraction that
makes it appear to the processes within the namespace that they have
their own isolated instance of the global resource. Changes to the
global resource are visible to other processes that are members of
the namespace, but are invisible to other processes. One use of
namespaces is to implement containers.

/proc/[pid]/ns包含了每個程序所在的名稱空間。

Seccomp filters

SECure COMPuting

BPF: Berkeley Packet Filter 安全計算模組

*.policy指定規則,告知minijail:

  • 可以呼叫哪些、不可以呼叫哪些syscall
  • 哪些syscall可以使用哪些引數而另外的引數不允許使用

policy檔案設定對應的syscall為允許呼叫和禁止呼叫,通過ebuild檔案將*.policy檔案安裝到指定的位置,在啟動時通過minijail的-S引數指定應用的policy檔案。

相關推薦

ChromeSandbox技術Linux Sandbox

Chromium OS中沙盒相關 以下各個設施均與minijail相關,與之配合執行 User ids Capacities Namespace Seccomp filters Securely mounting cryptohome daemon st

IOS(sandbox)和檔案操作(NSFileManager)

目錄: IOS學習之IOS沙盒(sandbox)機制和檔案操作(一) 1、IOS沙盒機制 IOS應用程式只能在為該改程式建立的檔案系統中讀取檔案,不可以去其它地方訪問,此區域被成為沙盒,所以所有的非程式碼檔案都要儲存在此,例如影象,圖示,聲音,映像,屬性列表

使用Chrome 的 ssh 外掛登陸 linux 伺服器

. 在chrome 商店中搜索 secure shell , 安裝 Secure Shell Extension   2. 安裝完成後,就可以在應用程式中找到Secure Shell App 3.點選 Secure Shell App ,就可以進入登陸介面。 4. 輸入賬號,地址

《創世》一期設想(一個自己幻想遊戲設計)

遊戲概述 (1)遊戲背景 故事以地球和人類的發展為原型和題材。在人類發展的不同時期,釋出不同的大版本。初期版本的主題,也就是原始時代的地球。 (2)遊戲性質設想: 由於現在末世生存類,開放型遊戲和創造類遊戲的火熱,給了我這樣的想法。我們是否可以建立一個遊戲世界的地

簡單說說容器/(Sandbox)以及Linux seccomp

如果應用程式邏輯有誤,會造成作業系統崩潰… 這句話其實不對。如果一個應用程式都能讓一個作業系統崩潰了,那這一定是這個系統在設計上或者實現上的BUG!再次重申,我不知道譚浩強的C語言教材現在是怎麼講的,但是至少在15年前,很多老師都會說訪問空指標會造成作業系統崩

【iOS開發必收藏】詳解iOS應用程式內使用IAP/StoreKit付費、SandBox)測試、建立測試賬號流程!【2012-12-11日更新獲取"產品付費數量等於0的問題"】

//——2012-12-11日更新   獲取"產品付費數量等於0這個問題"的原因 看到很多童鞋問到,為什麼每次都返回數量等於0?? 其實有童鞋已經找到原因了,原因是你在 ItunesConnect 裡的 “Contracts,

SandBox

每個App都有自己的沙盒,也就是一個儲存空間。App之間沒有許可權訪問對方的沙盒資源。沙盒的目錄下有三個資料夾:Documents、Library、temp 目錄結構 * Documents

【理解】 iOS(sandbox)機制(一)

 IOS應用程式只能在為該改程式建立的檔案系統中讀取檔案,不可以去其它地方訪問,此區域被成為沙盒,所以所有的非程式碼檔案都要儲存在此,例如影象,圖示,聲音,映像,屬性列表,文字檔案等。  1.1、每個應用程式都有自己的儲存空間  1.2、應用程式不能翻過自己的圍牆去訪問別的儲存空間的內容  1.3、應用

iOS學習之iOS(sandbox)機制和檔案操作(一)

1、iOS沙盒機制  iOS應用程式只能在為該改程式建立的檔案系統中讀取檔案,不可以去其它地方訪問,此區域被成為沙盒,所以所有的非程式碼檔案都要儲存在此,例如影象,圖示,聲音,映像,屬性列表,文字檔案等。  1.1、每個應用程式都有自己的儲存空間  1.2、應用程式不

程序的文件之以及plist文件的初步使用

ice b2c ng- 可見 ngs 函數 用戶 nsdata nss 沙盒是相對於“應用程序”的文件,也就是相相應app所在的頁面的文件。 每個應用都有自己的應用沙盒(應用沙盒就是文件系統文件夾)。與其它文件系統隔離。應用必須呆在在積極的沙盒中。其它的應用不可以訪問沙

存取刪資料

儲存資料 -(void)SaveString:(NSString*)UrlStr { // 1.獲得沙盒根路徑 NSString*home =NSHomeDirectory(); // 2.document路徑 NSString*docPath = [homestringByA

Linux--Sandbox

在電腦保安領域,沙箱(Sandbox)是一種程式的隔離執行機制,其目的是限制不可信程序或不可信程式碼執行時的訪問許可權。沙箱技術經常被用於執行未經測試的或不可信的客戶程式。為了阻止不可信程式可能破壞系統程式或破壞其它使用者程式的執行,沙箱技術通過為不可信客戶程式提供虛擬化的記憶體、檔案系統、網路等資

CFPB前高階官員全丹:無異議函與監管國有借鑑意義丨筱靜觀察

Banks Street Advisory的創始人和執行合夥人; 美國消費者金融保護署(CFPB)前高階官員,曾擔任前任署長Richard Cordray的高階顧問; 自2013年以來,全丹在CFPB領導了全球首個金融科技辦公室,此辦公室的成立,引導了包括英國金融行為監管局(FCA

Java零拷貝一步曲——Linux 的零拷貝技術

引言 傳統的 Linux 作業系統的標準 I/O 介面是基於資料拷貝操作的,即 I/O 操作會導致資料在作業系統核心地址空間的緩衝區和應用程式地址空間定義的緩衝區之間進行傳輸。這樣做最大的好處是可以減少磁碟 I/O 的操作,因為如果所請求的資料已經存放在作業系統的高速緩衝儲存器中,那麼就不需要再進行實際的物

Android利用ZipEntry漏洞實現免root寫惡意檔案到應用的

http://blog.csdn.net/jiangwei0910410003/article/details/52118575   版權宣告:本文為博主原創文章,未經博主允許不得轉載。 目錄(?)[-] 一前言 二漏洞場景分析 三漏洞出現的原因 四

Linux 的零拷貝技術,第 1 部分

文章內容 引言 傳統的 Linux 作業系統的標準 I/O 介面是基於資料拷貝操作的,即 I/O 操作會導致資料在作業系統核心地址空間的緩衝區和應用程式地址空間定義的緩衝區之間進行傳輸。這樣做最大的好處是可以減少磁碟 I/O 的操作,因為如果所請求的資料已經存放在作業系統的高速緩衝儲存器

利用 Disk Drill 匯出 iOS App 的資料

在 iOS 8 之前,我們想要匯出 iOS App 沙盒中的資料是一件非常簡單的事。只要利用 iTools之類的應用就可以隨意檢視 iOS App 沙盒中的所有資料,然後根據需要匯出資料。但是在 iOS 8 開始,Apple 加強了對沙盒的限制,iTools 這些應用

iOS目錄Documents, Library, tmp的作用和區別

1.Documents: 只有使用者生成的檔案、其他資料及其他程式不能重新建立的檔案,應該儲存在<Application_Home>/Documents目錄下面,並將通過iCloud自動備份。 2.Library 可以重新下載或者重新生成的資料應該儲存在<

iOS模擬器的應用在MAC的位置

每個iOS應用都有自己專屬的應用沙盒。分別為 應用程式包 Documents/ Library/Caches/ Library/Preferences/ tmp/ 當執行模擬時,在MAC下找

使用chroot構建linux

因為idc上掛了一個外部網站,idc許可權一般不外放,之前給一個登入shell為/bin/nologin的使用者建ftp,現在希望更進一步,可以ssh到該目錄中使用git命令進行程式碼管理但不能對其他目錄和系統有許可權。早先知道有個chroot命令,今天用了一下。如: ch