Redox OS实现基于能力的命名空间安全模型

Redox OS推进基于能力的操作系统安全

Redox OS是用Rust编写的类Unix操作系统，已实现新的基于能力的安全模型，将文件系统命名空间和当前工作目录作为安全能力。

核心概念

传统Unix依赖用户ID和文件权限进行访问控制。Redox采用完全不同的方式：

• 命名空间即能力：对文件系统命名空间的访问本身就是能力——没有引用就无法访问其中的文件
• CWD即能力：当前工作目录作为能力令牌，进程只能在授权目录范围内遍历路径
• 无root用户：彻底消除传统Unix超级用户概念

为什么能力安全重要

能力安全提供两个基本保证：无环境权限（进程无法访问未明确授权的资源）和防止混淆代理攻击（进程无法欺骗特权辅助程序执行未授权操作）。

Redox中的实现

Redox利用Rust的所有权系统在语言层面强制执行能力纪律。内核通过资源方案跟踪能力引用，防止进程在没有内核配合的情况下伪造或复制能力。

影响

Redox仍是研究型OS，但其基于能力的方法影响了更广泛的OS安全讨论，包括Linux命名空间、Plan 9的进程命名空间和浏览器的源站能力模型。Redox的实践表明，可以完全从头构建一个基于能力安全的通用操作系统。