[发明专利]Linux容器的细粒度沙盒策略执行方法有效
| 申请号: | 201711483780.X | 申请日: | 2017-12-29 |
| 公开(公告)号: | CN108021807B | 公开(公告)日: | 2020-04-28 |
| 发明(设计)人: | 蔡亮;万志远;王新宇;夏鑫;杨小虎;李善平 | 申请(专利权)人: | 浙江大学 |
| 主分类号: | G06F21/53 | 分类号: | G06F21/53 |
| 代理公司: | 杭州求是专利事务所有限公司 33200 | 代理人: | 黄欢娣;邱启旺 |
| 地址: | 310058 浙江*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供了一种Linux容器的细粒度沙盒策略执行方法,限制Linux容器的系统调用行为,减少攻击面,实现Linux容器的安全加固。所述方法包括:容器追踪模块通过采用ptrace系统调用接口,追踪目标容器运行,根据沙盒策略定义的规则,对具有字符串类型参数的系统调用访问进行过滤。系统调用拦截模块通过采用seccomp/BPF技术,实时拦截目标容器系统调用访问,根据沙盒策略定义的规则,对系统调用类型及具有非字符串类型参数的系统调用访问进行过滤。 | ||
| 搜索关键词: | linux 容器 细粒度 策略 执行 方法 | ||
【主权项】:
1.一种Linux容器的细粒度沙盒策略执行方法,其特征在于,所述细粒度沙盒策略包含了Linux容器的系统调用类型及参数的访问权限;该Linux容器的细粒度沙盒策略执行方法包括容器追踪模块和系统调用拦截模块;所述容器追踪模块包括追踪进程;该方法包括以下步骤:步骤1:启动追踪进程。步骤2:当目标容器的初始进程启动之后,通过进程间通信,追踪进程从容器运行环境获取目标容器的初始进程的进程号;追踪进程根据目标容器的初始进程的进程号,附着(attach)到目标容器的初始进程;追踪进程读取沙盒策略,获得目标容器系统调用的字符串类型的参数的过滤规则,等待触发事件;同时,系统调用拦截模块读取沙盒策略,并将沙盒策略载入到系统内核。步骤3:系统调用拦截模块实时拦截目标容器的系统调用访问;并根据Linux容器的系统调用类型及参数的访问权限,限制目标容器的系统调用访问,具体为:如果系统调用访问的类型和参数在沙盒策略定义的白名单中,则沙盒策略允许此次系统调用访问;如果系统调用访问的类型和参数在沙盒策略定义的追踪名单中,暂停目标容器运行,触发容器追踪模块;其他情况下,禁止此次系统调用访问;当容器追踪模块被触发后,根据沙盒规则,对目标容器系统调用访问的参数进行过滤。重启该过滤后的目标容器,等待下次事件的触发。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于浙江大学,未经浙江大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201711483780.X/,转载请声明来源钻瓜专利网。
- 上一篇:一种金属件的防腐处理设备
- 下一篇:一种磁吸式树脂溶解装置
