[发明专利]Linux容器的细粒度沙盒策略执行方法

权利要求书

1.一种Linux容器的细粒度沙盒策略执行方法，其特征在于，所述细粒度沙盒策略包含了Linux容器的系统调用类型及参数的访问权限；该Linux容器的细粒度沙盒策略执行方法包括容器追踪模块和系统调用拦截模块；所述容器追踪模块包括追踪进程；该方法包括以下步骤：

步骤1：启动追踪进程；

步骤2：当目标容器的初始进程启动之后，通过进程间通信，追踪进程从容器运行环境获取目标容器的初始进程的进程号；追踪进程根据目标容器的初始进程的进程号，附着（attach）到目标容器的初始进程；追踪进程读取沙盒策略，获得目标容器系统调用的字符串类型的参数的过滤规则，等待触发事件；同时，系统调用拦截模块读取沙盒策略，并将沙盒策略载入到系统内核；

步骤3：系统调用拦截模块实时拦截目标容器的系统调用访问；并根据Linux容器的系统调用类型及参数的访问权限，限制目标容器的系统调用访问，具体为：

如果系统调用访问的类型和参数在沙盒策略定义的白名单中，则沙盒策略允许此次系统调用访问；如果系统调用访问的类型和参数在沙盒策略定义的追踪名单中，暂停目标容器运行，触发容器追踪模块；其他情况下，禁止此次系统调用访问；

当容器追踪模块被触发后，根据过滤规则，对目标容器系统调用访问的参数进行过滤；重启该过滤后的目标容器，等待下次事件的触发。

2.根据权利要求1所述Linux容器的细粒度沙盒策略执行方法，其特征在于，步骤2所述的附着（attach）到目标容器的初始进程，具体是指：调用Linux系统调用接口ptrace，传入PTRACE_ATTACH作为第一个参数。

3.根据权利要求1所述Linux容器的细粒度沙盒策略执行方法，其特征在于，步骤2所述的系统调用拦截模块读取沙盒策略，并将沙盒策略载入到系统内核，具体是指：读取沙盒策略配置文件，翻译成seccomp/BPF程序并载入Linux内核中运行，用于后续限制目标容器的系统调用行为。

4.根据权利要求1所述Linux容器的细粒度沙盒策略执行方法，其特征在于，步骤3所述的实时拦截目标容器的系统调用访问，具体是指：运行中的seccomp/BPF程序实时拦截目标容器的系统调用访问。

5.根据权利要求1所述Linux容器的细粒度沙盒策略执行方法，其特征在于，步骤3所述的根据过滤规则，对目标容器系统调用访问的参数进行过滤，具体是指：调用Linux系统调用接口ptrace，分别传入PTRACE_GETREGS和PTRACE_PEEKDATA作为第一个参数，从寄存器及内存中读取目标容器进程系统调用访问的字符串类型参数，并根据沙盒策略，对参数执行过滤操作。

6.根据权利要求1所述Linux容器的细粒度沙盒策略执行方法，其特征在于，步骤3所述的重启该过滤后的目标容器，具体是指：调用Linux系统调用接口ptrace，传入PTRACE_CONT作为第一个参数。