主页 / 2023 KCon 大会 / Modern Linux sandboxing technology
-
作者李强,杨玉彪
-
简介
沙箱是安全领域的重要技术方向之一。Linux中虽然有众多的沙箱原语(比如seccomp、ptrace)和沙箱方案(比如nsjail、firejail等),但是这些方案都有很多各自的缺点,典型的比如seecomp配置规则负责、沙箱与被沙箱进程共享内核等。
一个理想的沙箱方案需要具备易用、强隔离、对被沙箱进程的完整观测等特点。为了满足内部对沙箱的需求,我们基于gVisor构建一款沙箱。该沙箱最大的特点是将进程运行在了一个受限的虚拟机中,但是其使用以及输入输出跟普通进程无异。在进程虚拟机之上,我们构建了沙箱的安全策略系统,用来限制被沙箱进程的资源访问。
本议题的基本主题如下:
-
Linux下的沙箱原语以及常用沙箱方案
-
gVisor介绍
-
如何构建基于gVisor的进程级沙箱
-
沙箱案例
-
进程级沙箱的未来
-
-
援引https://paper.seebug.org/3014/
-
提示本站仅做资料的整理和索引,转载引用请注明出处
相关推荐
-
2017-11-26 02:31:08 -
2019-12-27 11:54:14 -
2023-05-28 10:58:05.801552 -
2023-05-02 05:40:26.527581
附件下载
-
Modern.Linux.sandboxing.technology_kcon_v1.pdf