基于多安全機(jī)制的 Linux 應(yīng)用沙箱的設(shè)計(jì)與實(shí)現(xiàn)

李 晨 涂碧波 孟 丹 馮圣中

1(中國科學(xué)院深圳先進(jìn)技術(shù)研究院 深圳 518055)

2(中國科學(xué)院信息工程研究所 北京 100093)

1 引 言

眾所周知，大多數(shù)病毒會(huì)利用應(yīng)用程序這條路徑進(jìn)行傳播。用戶在使用計(jì)算機(jī)時(shí)，對(duì)一些應(yīng)用程序的非法操作往往會(huì)導(dǎo)致嚴(yán)重的安全問題，給用戶帶來極大的困擾。例如用戶使用的應(yīng)用程序需要訪問網(wǎng)絡(luò)時(shí)，有可能會(huì)從不安全的站點(diǎn)下載惡意程序，執(zhí)行一些非法操作，如盜取用戶的敏感信息，干擾用戶的日常工作、數(shù)據(jù)安全和個(gè)人隱私等[1]。一種有效的保護(hù)計(jì)算機(jī)安全的方法就是為應(yīng)用程序提供一個(gè)隔離的運(yùn)行空間，而這可以由沙箱來提供[2-4]。本文基于多種資源隔離和安全機(jī)制設(shè)計(jì)并實(shí)現(xiàn)了一種應(yīng)用在 Linux 操作系統(tǒng)上的沙箱。相對(duì)于現(xiàn)有的沙箱技術(shù)而言，該沙箱簡(jiǎn)化了實(shí)現(xiàn)機(jī)制，且提供了更高的安全性和隔離性。

2 沙箱的設(shè)計(jì)與實(shí)現(xiàn)

2.1 現(xiàn)有沙箱技術(shù)分析

現(xiàn)有的沙箱技術(shù)有很多種，如 FreeBSD Jails是 FreeBSD 平臺(tái)上一種基于容器的虛擬化技術(shù)，它擴(kuò)展了傳統(tǒng)的 Chroot 機(jī)制，為進(jìn)程提供了一個(gè)具有獨(dú)立的文件系統(tǒng)、進(jìn)程和網(wǎng)絡(luò)空間的環(huán)境。當(dāng)進(jìn)程調(diào)用了 jail 系統(tǒng)調(diào)用后，它就被限定在這個(gè) jail 內(nèi)，且不能脫離。該機(jī)制的缺點(diǎn)是不能夠隔離物理資源，且不具備安全機(jī)制。Seccomp 是Linux-2.6.23 版本之后支持的一種沙箱機(jī)制，該機(jī)制為進(jìn)程提供了一種“安全”模式。在這種模式下，只允許沙箱內(nèi)的進(jìn)程使用指定的 4 種系統(tǒng)調(diào)用：exit()、sigreturn()、read()和 write()[5]，否則進(jìn)程將會(huì)被終止，但該機(jī)制的實(shí)現(xiàn)需要修改內(nèi)核及應(yīng)用程序，且只支持“純計(jì)算型”代碼的應(yīng)用程序，安全機(jī)制單一。BufferZone 是通過在用戶電腦上指定的目錄中創(chuàng)建一個(gè)虛擬區(qū)域，當(dāng)該沙箱在運(yùn)行程序時(shí)，程序下載的所有文件都將存儲(chǔ)在這個(gè)虛擬區(qū)中，進(jìn)而使它們與操作系統(tǒng)的其他部分隔離開來，因此惡意軟件只能對(duì)虛擬區(qū)造成影響。但這種機(jī)制的開銷大，且虛擬機(jī)本身存在很多安全問題。DefenseWall 將運(yùn)行程序分為兩類：系統(tǒng)自帶的文件程序作為可信任程序，而第三方軟件程序作為非信任程序。它還可隨時(shí)對(duì)非信任程序進(jìn)行跟蹤監(jiān)聽。雖然該機(jī)制內(nèi)置一些策略和規(guī)則來限制不可信程序的運(yùn)行，但它不具備網(wǎng)絡(luò)過濾的功能，且不能實(shí)現(xiàn)資源隔離。SELinux 是一種強(qiáng)制訪問控制機(jī)制，它首先給系統(tǒng)的主體和客體打上不同的安全標(biāo)記，然后通過定制訪問控制規(guī)則來限制主體對(duì)客體的訪問，但這種機(jī)制的配置比較復(fù)雜，易用性較差。表 1 為一部分典型的沙箱的特性對(duì)比。

綜上所述，現(xiàn)有的沙箱中有一部分需要修改內(nèi)核和應(yīng)用程序本身，易用性差，且使用的隔離和安全策略有限，不能夠很好地防范各種惡意攻擊[6,7]。

本文設(shè)計(jì)的沙箱可以為不可信應(yīng)用程序提供一個(gè)系統(tǒng)資源、物理資源和文件系統(tǒng)隔離的運(yùn)行環(huán)境，同時(shí)還添加了強(qiáng)制訪問控制策略、權(quán)能限制和內(nèi)存保護(hù)功能，在防范應(yīng)用程序漏洞攻擊的同時(shí)還可以防止部分系統(tǒng)漏洞攻擊，而且無需修改內(nèi)核及應(yīng)用程序本身。與已有的沙箱對(duì)比，本文設(shè)計(jì)的沙箱提高了系統(tǒng)的隔離性和安全性，且對(duì)性能造成的影響在可控的范圍之內(nèi)。

2.2 沙箱的設(shè)計(jì)目標(biāo)

為了保證沙箱的隔離性和安全性，本文為沙箱提出了以下兩個(gè)設(shè)計(jì)目標(biāo)：

(1)實(shí)現(xiàn)資源隔離

① 沙箱擁有自己獨(dú)立的文件系統(tǒng)；

② 實(shí)現(xiàn)沙箱間及沙箱與主機(jī)間的系統(tǒng)資源和物理資源隔離。

(2)實(shí)現(xiàn)多種安全機(jī)制

① 使用強(qiáng)制訪問控制策略實(shí)現(xiàn)主機(jī)的關(guān)鍵文件和目錄不受沙箱影響；

表1 典型沙箱技術(shù)對(duì)比Table 1 . Typical sandbox technology contrast

② 限制沙箱可以使用的權(quán)能(Capabilities)；

③ 為沙箱添加內(nèi)存保護(hù)安全策略。

2.3 沙箱的實(shí)現(xiàn)

2.3.1 資源隔離

首先，利用命名空間(Namespace)機(jī)制實(shí)現(xiàn)沙箱內(nèi)系統(tǒng)資源的隔離。所有的系統(tǒng)資源都默認(rèn)為全局管理，Linux 系統(tǒng)提供了 PID、IPC 和Internet 等多個(gè) Namespace，而且每個(gè) Namespace的資源相對(duì)于其他的 Namespace 均為透明。我們?yōu)槊總€(gè)沙箱建立一個(gè)獨(dú)立的 Namespace，這樣網(wǎng)絡(luò)、PID 和 IPC 等資源就屬于特定的Namespace。這種機(jī)制的實(shí)現(xiàn)依靠在啟動(dòng)沙箱進(jìn)程后調(diào)用 clone()系統(tǒng)調(diào)用時(shí)，指定相應(yīng)的flags，flags 標(biāo)識(shí)的是我們要為沙箱建立的新Namespace 類型。我們將 PID Namespace 和 IPC Namespace 一起使用可以使沙箱中的進(jìn)程彼此不可見、不可通信，實(shí)現(xiàn)了進(jìn)程間的隔離；掛載Namespace 和網(wǎng)絡(luò) Namespace 一起使用可以為沙箱虛擬出一個(gè)具有獨(dú)立主機(jī)名和網(wǎng)絡(luò)空間的環(huán)境，對(duì)于應(yīng)用程序而言，沙箱就像網(wǎng)絡(luò)上一臺(tái)獨(dú)立的主機(jī)一樣。

其次，隔離沙箱可以使用的物理資源。沙箱利用控制組(Control Groups，Cgroups)子系統(tǒng)來實(shí)現(xiàn)這一功能。Cgroups 是一種可以隔離、限制和記錄進(jìn)程組所使用的物理資源(如 CPU、memory 和 IO 等)的機(jī)制。例如，內(nèi)存子系統(tǒng)用來限制進(jìn)程組可以使用的內(nèi)存上限，一旦進(jìn)程組使用的內(nèi)存達(dá)到了限額以后還繼續(xù)申請(qǐng)內(nèi)存，系統(tǒng)就會(huì)終止該進(jìn)程并報(bào)錯(cuò)。我們將沙箱中的進(jìn)程作為一個(gè)進(jìn)程組來進(jìn)行管理，這樣就可以避免沙箱中的惡意程序想要霸占某些物理資源的行為。

此外，我們還為沙箱定制了一個(gè)完全獨(dú)立的文件系統(tǒng)，如圖 1 所示。

圖1 沙箱的獨(dú)立文件系統(tǒng)Fig. 1. Rootfs of Sandbox

該文件系統(tǒng)相當(dāng)于主機(jī)文件系統(tǒng)的一個(gè)簡(jiǎn)化副本，其中包含了應(yīng)用程序本身以及它執(zhí)行時(shí)需要的配置文件、動(dòng)態(tài)鏈接庫和特殊設(shè)備等，沙箱中的進(jìn)程只能在這個(gè)文件系統(tǒng)中進(jìn)行操作。在沙箱的文件系統(tǒng)中，主機(jī)系統(tǒng)中默認(rèn)禁止訪問的敏感目錄文件只是一個(gè)拷貝，所以無論惡意應(yīng)用程序在沙箱中做任何操作都不會(huì)對(duì)主機(jī)產(chǎn)生任何影響。該機(jī)制的實(shí)現(xiàn)利用了系統(tǒng)調(diào)用函數(shù) chdir()，在啟動(dòng)沙箱時(shí)調(diào)用該函數(shù)，即可更改當(dāng)前進(jìn)程的工作目錄。

2.3.2 安全策略

除了以上提供的資源隔離策略，我們還為沙箱引入了一些安全策略。首先是強(qiáng)制訪問控制機(jī)制，強(qiáng)訪機(jī)制就是將系統(tǒng)中的進(jìn)程、文件等對(duì)象分為主體和客體兩種，并給主、客體添加相應(yīng)的標(biāo)簽，定制特定的強(qiáng)制訪問控制規(guī)則來限制主體對(duì)客體的操作[8]。我們使用簡(jiǎn)單的文本標(biāo)簽(如host)標(biāo)記主機(jī)上的關(guān)鍵文件和目錄，給沙箱的獨(dú)立文件系統(tǒng)以及沙箱進(jìn)程添加沙箱標(biāo)簽(可以用沙箱名作為標(biāo)簽，如 vs 1、vs 2)，設(shè)置沙箱使用的訪問控制規(guī)則如表 2 所示。其中，第一列為主體標(biāo)簽，第二列為客體標(biāo)簽，第三列為主體可以對(duì)客體執(zhí)行的操作，沙箱對(duì)標(biāo)有 host 標(biāo)簽的對(duì)象不能做任何操作，沙箱互相之間也不能做任何操作，這樣就可以保證沙箱本身及沙箱中的惡意程序不會(huì)對(duì)主機(jī)的關(guān)鍵文件和目錄產(chǎn)生影響。

表2 沙箱的強(qiáng)制訪問控制規(guī)則Table 2 . MAC rules of sandboc

其次，對(duì)沙箱中的進(jìn)程進(jìn)行權(quán)能限制。Linux Kernel 自 2.1 版開始就有了權(quán)能的概念，Linux 支持權(quán)能的主要目的是細(xì)化根用戶的特權(quán)，利用這一機(jī)制，我們可以根據(jù)實(shí)際的安全需要來控制沙箱擁有的權(quán)能范圍，從而防止攻擊者利用惡意應(yīng)用程序趁機(jī)獲取控制系統(tǒng)的特權(quán)，對(duì)系統(tǒng)安全造成威脅。該機(jī)制的實(shí)現(xiàn)是通過在沙箱中啟動(dòng)進(jìn)程時(shí)，先獲取進(jìn)程擁有的權(quán)能，然后使用 cap_clear_flag()函數(shù)來清除禁止該沙箱使用的權(quán)能。

此外，為沙箱添加了地址隨機(jī)化、不可執(zhí)行頁保護(hù)等安全策略，這些安全策略可以防止由緩沖區(qū)溢出漏洞導(dǎo)致的攻擊行為。例如，如果攻擊程序熟悉進(jìn)程的地址空間，從而將程序的執(zhí)行流程跳轉(zhuǎn)到惡意代碼的位置，危害系統(tǒng)安全。而利用地址隨機(jī)化策略使程序地址隨機(jī)化，使得攻擊者無法將程序執(zhí)行流程跳轉(zhuǎn)到預(yù)期位置，從而阻止攻擊代碼執(zhí)行。這樣不僅可以對(duì)已知漏洞進(jìn)行防護(hù)，還能對(duì)未知漏洞利用攻擊進(jìn)行防御。

3 性能分析及測(cè)試

3.1 安全性分析

因?yàn)樯诚渚哂歇?dú)立的文件系統(tǒng)，所以從沙箱中啟動(dòng)應(yīng)用程序后，在執(zhí)行過程中所做的操作，如下載的文件以及在網(wǎng)頁上安裝的軟件都被重定向到沙箱獨(dú)立的文件系統(tǒng)中，可以隨時(shí)刪除且不會(huì)對(duì)主機(jī)系統(tǒng)造成任何影響；此外，沙箱引入了Namespace 機(jī)制和 Cgroups 機(jī)制，實(shí)現(xiàn)了沙箱與系統(tǒng)間系統(tǒng)資源和物理資源的隔離；權(quán)能機(jī)制使應(yīng)用程序及沙箱都不可能進(jìn)行除了賦予給它們的權(quán)能之外的任何特權(quán)操作；強(qiáng)訪策略可以限制沙箱程序讀取或修改系統(tǒng)的關(guān)鍵文件和敏感數(shù)據(jù)；地址隨機(jī)化和不可執(zhí)行頁保護(hù)策略防止了惡意代碼的緩沖區(qū)漏洞攻擊行為。如圖 2 所示為沙箱使用的各種機(jī)制及達(dá)到的隔離和安全效果。

3.2 測(cè) 試

測(cè)試環(huán)境：

Intel(R)Core(TM)i5-3470 CPU 3.20 GHz

Fedora 12 linux-2.6.36

(1)安全性測(cè)試

測(cè)試1：對(duì)存在安全漏洞的應(yīng)用程序直接執(zhí)行與在沙箱中執(zhí)行的結(jié)果進(jìn)行測(cè)試。根據(jù)Mozilla 官網(wǎng)安全公告，火狐瀏覽器(Firefox)的某一版本存在高危級(jí)別的漏洞 MFSA 2010-65。如果向 document.write()發(fā)送一個(gè)超長(zhǎng)字符串，可能會(huì)導(dǎo)致文字渲染程序出現(xiàn)混亂，堆棧內(nèi)存的一部分被串?dāng)?shù)據(jù)所覆寫。攻擊者可利用此漏洞導(dǎo)致用戶瀏覽器崩潰，并可能執(zhí)行任意代碼。

測(cè)試過程如下：

① 向 document.write()發(fā)送超長(zhǎng)字符串；

② 打開 Debuggy，直接運(yùn)行 Firefox，在Debuggy 中多次查看 Call Stack 的內(nèi)容。

Call Stack 被寫入為 41414141，也就意味著在進(jìn)行正常的瀏覽器操作之后，32 位指令寄存器(Extended Instruction Pointer，EIP)就會(huì)變?yōu)?1414141，這個(gè)地址是不可執(zhí)行的，返回地址被覆蓋，EIP 指向的一段惡意代碼(如盜取系統(tǒng)敏感數(shù)據(jù))就會(huì)立刻被執(zhí)行，導(dǎo)致火狐瀏覽器崩潰。圖 3 所示為系統(tǒng)打印的錯(cuò)誤信息。

圖2 沙箱使用機(jī)制及達(dá)到的隔離和安全效果Fig. 2. Isolation and security with sandbox mechanisms

但是，將火狐瀏覽器在沙箱中啟動(dòng)，執(zhí)行上述操作之后，惡意代碼并不會(huì)被執(zhí)行，原因是我們?cè)谏诚渲胁捎昧硕褩５刂冯S機(jī)化技術(shù)。此外，即使火狐瀏覽器運(yùn)行時(shí)跳轉(zhuǎn)到惡意代碼的位置，這段代碼也只會(huì)在沙箱中運(yùn)行，它所破壞的僅僅是我們虛擬出來的一個(gè)系統(tǒng)副本，并不會(huì)對(duì)沙箱外的系統(tǒng)造成任何危害，因此，沙箱隔離了存在安全漏洞的應(yīng)用程序?qū)ο到y(tǒng)的危害。

圖3 系統(tǒng)打印的錯(cuò)誤信息Fig. 3. Error information printed by the system

測(cè)試 2：對(duì)惡意霸占資源的程序直接執(zhí)行與在沙箱中執(zhí)行的結(jié)果進(jìn)行測(cè)試。測(cè)試程序關(guān)鍵代碼如下：

該程序處在 while 循環(huán)中，在程序執(zhí)行時(shí)，會(huì)循環(huán)申請(qǐng)變量，不停地分配內(nèi)存，導(dǎo)致系統(tǒng)可用內(nèi)存的數(shù)量不斷減少。我們測(cè)試的結(jié)果在經(jīng)13.5 s 以后，1 G 的可用內(nèi)存幾乎完全被占用，導(dǎo)致其他應(yīng)用程序無法執(zhí)行。之后我們從沙箱中啟動(dòng)該程序，限制沙箱所能使用的內(nèi)存大小為 100 M。當(dāng)程序執(zhí)行時(shí)，系統(tǒng)為該程序分配的內(nèi)存達(dá)到限制值以后，應(yīng)用程序被終止，而其他應(yīng)用程序仍可正常執(zhí)行。由此可見，沙箱防止了惡意程序?qū)τ谫Y源的惡意霸占，保護(hù)了系統(tǒng)的安全。

(2)性能測(cè)試

① 應(yīng)用級(jí)性能測(cè)試

以三種典型的桌面應(yīng)用程序 Firefox、Office和 Kaffeine 為例來分析該沙箱性能損耗。對(duì)比直接啟動(dòng)應(yīng)用程序和從沙箱中啟動(dòng)應(yīng)用程序的啟動(dòng)時(shí)間(以 s 為單位)，結(jié)果如圖 4 所示。圖 4 顯示，在沙箱中啟動(dòng)應(yīng)用程序的時(shí)間比直接啟動(dòng)稍慢一些，但是屬于可接受的范圍。

圖4 三種應(yīng)用程序直接運(yùn)行和在沙箱中運(yùn)行時(shí)間(s)對(duì)比Fig. 4. Time contrast of three apps running directly and in sandbox

② 系統(tǒng)級(jí)性能測(cè)試

使用工具 Unixbench 對(duì)沙箱及主機(jī)進(jìn)行系統(tǒng)級(jí)的性能對(duì)比測(cè)試。Unixbench 是一個(gè)用于評(píng)價(jià)系統(tǒng)綜合性能的開源工具，能夠測(cè)試包括文檔讀寫、內(nèi)存操作、進(jìn)程創(chuàng)建銷毀開銷和網(wǎng)絡(luò)等性能開銷。正常運(yùn)行 Unixbench 的測(cè)試結(jié)果如圖 5 所示，而在沙箱中運(yùn)行 Unixbench 的測(cè)試結(jié)果如圖6 所示。經(jīng)對(duì)比發(fā)現(xiàn)，在沙箱中運(yùn)行時(shí)，系統(tǒng)的性能開銷增加了 2.88%，屬于可接受范圍。

圖5 正常運(yùn)行時(shí)的測(cè)試結(jié)果Fig. 5. Test results of normal operation

圖6 在沙箱中運(yùn)行時(shí)的測(cè)試結(jié)果Fig. 6. Test results in sandbox

4 總 結(jié)

該沙箱利用各種安全策略和隔離機(jī)制給不可信任的應(yīng)用程序提供一個(gè)安全隔離的運(yùn)行環(huán)境，配置簡(jiǎn)單并且無需修改內(nèi)核和應(yīng)用程序，具有很強(qiáng)的安全性和隔離性，是一種保護(hù) Linux系統(tǒng)安全的有效手段。但是，沙箱對(duì)系統(tǒng)的性能會(huì)產(chǎn)生一些影響，如何進(jìn)一步降低沙箱性能消耗還是一個(gè)亟待解決的問題，這將是我們下一步研究的重點(diǎn)。

[1]程龍, 楊小虎. Linux 系統(tǒng)內(nèi)核的沙箱模塊實(shí)現(xiàn)[J]. 計(jì)算機(jī)應(yīng)用, 2004, 24(1): 79-81.

[2]Acharya A, Raje M. MAPbox: using parameterized behavior classes to confine untrusted applications[C]// Proceedings of the 9th Conference on USENIX Security Symposium, 2000: 1.

[3]Peterson DS, Bishop M, Pandey R. A flexible containment mechanism for executing untrusted code [C]// Proceedings of the 11th USENIX Security Symposium, 2002: 207-225.

[4]Provos N. Improving host security with systemcall policies [C]// Proceedings of the 12th Conference on USENIX Security Symposium, 2003: 257-272.

[5]Bernaschi M, Gabrielli E, Mancini LV. Operating system enhancements to prevent the misuse of system calls [C]// Proceedings of the 7th ACM Conference on Computer and Communications Security, 2000: 174-183.

[6]王洋, 王欽. 沙盒安全技術(shù)的發(fā)展研究 [J]. 軟件導(dǎo)刊, 2009, 8(8): 152-153.

[7]李時(shí)惠. 一種增強(qiáng)的基于威脅度的沙箱框架設(shè)計(jì)[J]. 計(jì)算機(jī)技術(shù)與自動(dòng)化, 2006, 25(3): 123-127.

[8]張愛華, 林園. 一種基于安全標(biāo)簽的訪問控制模型的設(shè)計(jì)和實(shí)現(xiàn) [J]. 計(jì)算機(jī)應(yīng)用研究, 2007, 1:183-185.