百度开源 Linux 发行版 MesaLock Linux

开源最前线（ID：OpenSourceTop） 猿妹 整编

综合自：https://github.com/mesalock-linux/mesalock-distro

百度安全实验室宣布正式开源通用 Linux 发行版本 MesaLock Linux。

Linux 发行版 MesaLock Linux 

授权协议：BSD

操作系统：Linux

开发厂商：百度

Github：https://github.com/mesalock-linux

MesaLock Linux 简介

MesaLock Linux 是百度安全实验室开源的一个通用 Linux 发行版本，其目标是用 Rust、Go 等内存安全语言重写用户空间应用（user space applications），以在用户空间中逐步消除高危的内存安全漏洞。这将极大的降低整个系统的攻击面，并且使得剩余的攻击面可审计、可收敛。

MesaLock Linux 在保留 Linux 硬件兼容性的前提下，实质性地提升了 Linux 生态的安全性。MesaLock Linux 的主要目标应用场景是容器（例如：docker 镜像），以及高安全性嵌入式环境，以后随着逐渐成熟，也可以向服务器或其他场景延伸。

 MesaLock Linux 模块

目前 MesaLock Linux 项目主要包括三个方面：

mesalock-distro：提供了 MesaLock Linux 发行版的编译程序，提供了 Live ISO 和 rootfs 两种发行方式。Live ISO 可以在虚拟机中启动或者直接在设备上运行，rootfs 主要为 docker 容器使用。

packages：这里面包括了 MesaLock Linux 提供的软件包的编译脚本，我们提供了使用内存安全的编程语言 Go 和 Rust 编写的一些常用软件，包括 shell、coreutils、findutils、文本编辑器等等。

minit, mgetty, giproute2：我们同时提供了用 Rust/Go 编写了启动 MesaLock Linux 过程中的核心组件。

除此之外，还提供了相关的文档，包括编译和使用 MesaLock Linux，编写新的软件包。

MesaLock Linux 遵循原则

为提供完善的功能，并保证强健的安全性，MesaLock Linux 将遵循 Rust SGX SDK  项目中提出的混合代码内存安全架构三原则：

● 隔离并模块化由非内存安全代码编写的组件，并最小化其代码量。

● 由非内存安全代码编写的组件不应减弱安全模块的安全性，尤其是公共 API 和公共数据结构。

● 由非内存安全代码编写的组件需清晰可辨识并且易于更新。

快速开始

你可以使用 Docker 快速体验容器环境中的 MesaLock Linux：

目前，MesaLock Linux 有两个版本：live ISO和rootfs。实时 ISO 镜像可用于创建可启动的实时 USB，或在虚拟机中启动。rootfs（即根文件系统）可以用作容器的最小根镜像。

MesaLock Linux 软件包

MesaLock Linux提供了许多内存安全的软件包。所有的用户空间应用程序都是用Rust和Go编写的。目前已经提供了许多有用的和高质量的工具：

● brotli：用 Rust 编写的压缩工具

● busybox：仅用于测试的 busybox 工具

● exa：替换 Rust 写的 ls

● fd-find：简单，快速和用户友好的替代查找

● filesystem：基础文件系统布局（由 MesaLock Linux 维护）

● gcc-libs：GCC库，只使用 libgcc_s.so

● giproute2：用 Go 编写的 ip 工具（由 MesaLock Linux 维护）

● glibc：GNU C 库（glibc）

● init：init 脚本（由MesaLock Linux维护）

---

●本文编号2811，以后想阅读这篇文章直接输入2811即可

●输入m获取文章目录

↓↓↓ 点击"阅读原文" 进入GitHub详情页