IT之家 2 月 15 日訊息,雖然 Linux 內核已經在嘗試 Rust 編程來提高記憶體安全性,但華為開發者近日提出了一項針對 Linux 內核新「沙盒模式」的提案,提高內核中 C 語言程式碼的記憶體安全性。
Linux 信件顯示,華為雲的 Petr Tesarik 發出了有關新沙盒模式的「征求意見」修補程式系列 ,Petr 將沙盒模式描述為:
沙盒模式的最終目標是在僅允許記憶體存取預定義地址的環境中執行本機內核程式碼,因此潛在的漏洞無法被利用或不會對內核的其余部份產生影響。
該修補程式系列向內核添加了沙盒模式的 API 和獨立於架構的基礎設施。它在所有輸入和輸出數據的 vmalloc () 副本上執行目標函式。由於保護頁面,僅此一項就可以防止一些越界存取。
沙盒模式文件進行了進一步補充描述,IT之家匯總內容如下:
沙盒模式(SBM)的主要目標是透過分解內核來減少內核程式碼中潛在記憶體安全錯誤的影響。SBM API 允許在隔離的執行環境中執行每個元件。特別是用作輸入的記憶體區域和 / 或輸出與內核的其余部份隔離,並被保護頁包圍。
在實作必要的 arch hook 的架構上,沙盒模式利用硬體分頁設施和 CPU 特權級別來強制僅使用這些預定義的記憶體區域。有了 arch 的支持,SBM 還可以從保護違規中恢復。這意味著 SBM 強制終止沙盒並向呼叫者返回錯誤程式碼(例如 ``-EFAULT``),以便執行可以繼續。這種實作提供了 * 強隔離 *。
