Redox OS实现基于能力的命名空间安全模型
Available in: 中文
Rust编写的微内核操作系统Redox OS实现了基于能力(Capability)的命名空间管理和当前工作目录安全模型,由NGI Zero Commons和NLnet资助。
Redox OS推进基于能力的安全架构
Rust编写的微内核操作系统Redox OS实现了基于能力(Capability)的命名空间管理和当前工作目录安全模型,由NGI Zero Commons和NLnet资助。
什么是能力安全?
在基于能力的安全模型中,打开的文件描述符就是一个能力——它同时标识资源和访问权限。所有资源访问必须从有效能力出发,从根本上消除了整类安全漏洞。
架构设计
Redox OS采用微内核设计,系统组件以名为'Scheme'的用户空间服务运行。资源通过scheme根路径访问(如)。命名空间控制进程可访问的scheme。
关键改进
命名空间即能力:命名空间访问权现在通过能力控制,进程只能访问其命名空间中明确授权的scheme。
CWD即能力:当前工作目录从字符串改为能力对象,防止目录遍历攻击和路径混淆漏洞。
POSIX兼容性
改进在redox-rt中实现,提供POSIX兼容层,将标准路径转换为scheme根路径,现有C应用无需修改即可运行。
意义
这是实际操作系统中最彻底的能力安全实现之一,通过在命名空间层面强制'无能力则无访问'原则,消除了整类权限提升和横向移动攻击。
← Previous: China's Unmanned Aerial Gun Debuts in Joint Exercise with Robotic Wolves, Reshaping Future WarfareNext: Logitech Faces Mounting Challenges in Global Tech Hardware Market Amid Shifting Consumer Preferences →
0