gvisor实现的容器中启动新内核

最新推荐文章于 2024-04-08 00:22:58 发布
最新推荐文章于 2024-04-08 00:22:58 发布
阅读量619 收藏 1
点赞数
分类专栏: linux docker及容器技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bme314/article/details/119329070
版权

gvisor

gvisor是google发布的安全容器。
gVisor 工作的核心,在于它为应用进程(用户容器),启动了一个名叫 Sentry 的进程。 而 Sentry 进程的主要职责,就是提供一个传统的操作系统内核的能力,即:运行用户程序,执行系统调用。所以说,Sentry 并不是使用 Go 语言重新实现了一个完整的 Linux 内核,而只是一个对应用进程“冒充”内核的系统组件。(这段是抄的)
作为安全容器,利用容器中的内核来隔离大部分内核攻击,确实是一个不错的想法,然而这个新内核属于定制内核,估计很多功能还不完善,据说用了ptrace和kvm两种方式实现,我这里来探索下kvm的实现方式。

kvm

kvm是linux的硬件虚拟化的的抽象模块,方便用户构建硬件虚拟化的虚拟机。最全的资料应该还是intel或amd各家的硬件开发手册,我之前有几篇相关的文章,所以就不啰嗦VT虚拟化了。

gviosr如何劫持容器中的系统调用

根据我的观察,gvisor对于VT技术(kvm)的使用核心逻辑图如下:
在这里插入图片描述
这里在信号里创建了个VMM(虚拟机管理器)。简单讲就是初始化客户机状态,和VMM状态,设置各种vm_exit标识,用来劫持客户机的各种硬件或软件行为。之后在kvm的设备句柄中 发送_KVM_RUN状态就可以运行客户机代码,也就是我们需要的新内核的代码。

kvm中设置系统调用表地址

在这里插入图片描述
MSR_LSTAR代表内核可以操作的系统寄存器,一般用来存放系统调用表。如上图,linux内核也是这样做的,存放了entry_SYSCALL_64。
gvisor利用kvm对虚拟机化中的系统表进行改写位于kernel——amd64.go(startGo)

func startGo(c *CPU) {
	// Save per-cpu.
	WriteGS(kernelAddr(c.kernelEntry))

	//
	// TODO(mpratt): Note that per the note above, this should be done
	// before entering Go code. However for simplicity we leave it here for
	// now, since the small critical sections with undefined FPU state
	// should only contain very limited use of floating point instructions
	// (notably, use of XMM15 as a zero register).
	fninit()
	// Need to sync XCR0 with the host, because xsave and xrstor can be
	// called from different contexts.
	xsetbv(0, sentryXCR0)

	// Set the syscall target.
	wrmsr(_MSR_LSTAR, kernelFunc(addrOfSysenter()))
	wrmsr(_MSR_SYSCALL_MASK, KernelFlagsClear|_RFLAGS_DF)

	// NOTE: This depends on having the 64-bit segments immediately
	// following the 32-bit user segments. This is simply the way the
	// sysret instruction is designed to work (it assumes they follow).
	wrmsr(_MSR_STAR, uintptr(uint64(Kcode)<<32|uint64(Ucode32)<<48))
	wrmsr(_MSR_CSTAR, kernelFunc(addrOfSysenter()))
}

TEXT ·sysenter(SB),NOSPLIT,$0
	-->kernelSyscall(SB)
		-->ring0.SaveFloatingPoint(c.floatingPointState.BytePointer())
		-->ring0.HaltAndWriteFSBase(regs)

如上实现了虚拟化的系统调用表。这之后就可以猜测,系统调用大部分逻辑可以被重新实现,少数重定位到真实内核中的系统调用。

这里有个疑问,为什么要放在信号里创建VMM, 直接创建也可以吧。可能是容器中启动程序,用信号来劫持容器执行流更方便,有看过的可以交流下。

一些后续的想法

1.能否启动完整的内核?利用kvm我的想法是可以启动完整的内核。因为这里完全可以实现完整的虚拟机管理器,之所以采用简化的内核,可能是考虑到性能问题,毕竟完整的虚拟机还是有一定的消耗的。
2.安全性。安全性有了较大的提升,但还是存在攻破的可能,因为是虚拟化技术,有可能发生逃逸。
3.维护新内核的成本估计也不低。

inquisiter
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Go-gVisorGoogle开源的型沙箱容器运行时环境
08-14
总结,gVisor作为Google开源的沙箱容器运行时环境,提供了一种的安全解决方案,帮助保护云环境容器免受攻击。它通过用户空间内核实现了安全隔离,同时也保持了与现有容器生态的兼容性。然而,使用gVisor时也...
gVisor使用探索
qq_40711766的博客
12-28 3733
容器虽然带来了高效快捷的虚拟化,但是由于共用内核容器的安全性也是最受关注的。gVisor是google引入的一套全容器安全解决方案,重实现容器进程的每一个系统调用,其性能相比runc等下降了不少。本文主要介绍gVisor的基本概念及在docker使用gvisor运行容器
CKS之安全沙箱运行容器:gVisor
DwanCloud
03-30 1471
gVisor是Google开源的一种容器沙箱技术,其设计初衷是在提供较高安全性的同时,尽量减少对性能的影响。通过创建一个用户空间内核,gVisor拦截并处理容器内应用程序的系统调用,从而实现容器内进程与宿主机内核间交互的隔离。这种设计有效防止了恶意程序利用内核漏洞对宿主机造成影响。gVisor兼容OCI标准,可以无缝集成到Docker和Kubernetes(K8s),使其部署和使用变得更为便捷。:增强了容器的安全性,有效隔离了容器与宿主机内核的直接交互。
安全容器:gVisor、Firecracker、LXC性能对比
文杰的博客
06-26 1494
参考论文,从各个角度比较当前容器安全产品差异
kubernetes--安全沙箱运行容器gVisor
m0_57911290的博客
03-02 3806
所知,容器的应用程序可以直接访问Linux内核的系统调用,容器在安全隔离上还是比较弱,虽然内核在不断的增强自身的安全特性,但由于内核自身代码极端复杂,CVE漏洞层出不穷。所以要想减少这方面安全风险,就是做好安全隔离,阻断容器内程序对物理机内核的依赖。Google开源的一种gVisor容器沙箱技术就是采用这种思路,gVisor隔离容器内核之间访问,提供了大部分内核的系统调用,巧妙的将容器内进程的系统调用转为给gViosr的访问。gVisor兼容OCI,与Docker和K8s无缝集成,很方便使用。
kubernetes gVisor 安全沙箱运行容器(RuntimeClass)
sxpnp的博客
01-09 1136
如有问题,以你为准
开源项目-google-gvisor.zip
10-17
GVisor的核心概念是`User Space Kernel`或用户空间内核,它将传统操作系统内核的功能转移到用户空间实现,减少了攻击面,因为不再需要直接访问宿主机的内核。通过这种方式,GVisor可以在不牺牲性能的前提下,提供比...
探秘GVisor:Google构建的安全容器运行环境
gitblog_00008的博客
03-19 430
探秘GVisor:Google构建的安全容器运行环境 项目地址:https://gitcode.com/google/gvisor 在现代云原生应用环境容器已经成为部署和管理应用程序的标准方式。然而,随着其普及,安全性和隔离性问题日益受到重视。这就是Google推出GVisor的原因。GVisor是一个开源项目,它提供了一种安全的、基于沙箱的容器运行时环境,旨在为你的应用程序添加额外的安全层。...
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor
百慕卿君博客
05-27 3334
1、pod安全上下文Security Context,特权容器替代方案Linux Capabilities。 2、pod安全策略psp简介,psp替代方案OPA Gatekeepe,包括rego模板、策略编写。 3、gvisor容器沙箱技术,与docker集成,与containerd集成。 4、Linux内核升级。
gVisor是什么?可以解决什么问题?
Docker的专栏
09-17 9104
传统的Container由于隔离性差而不适合作为Sandbox运行不受信工作负载,VM可以提供很好隔离但却额外消耗较多的内存。Google开源的gVisor为我们提供另外...
微虚机之gVisor
专注虚拟化的Linuxer
01-25 3468
gVisor是google最推出的一种进程级别的沙箱技术,因为跟Kubernets同一出身,所以天然的兼容于Kubernets的调度管理。 沙箱不同于传统的容器以及微虚机,众所周知,容器是通过namespace跟cgroup实现资源隔离,微虚机则通过传统的虚拟化技术(KVM),而gVisor怎是在进程界别实现了系统调用的劫持以及重定向。好处么,很明显,它不需要物理隔离资源的建立这一过程,直接应...
谷歌黑科技:gVisor轻量级容器运行时沙箱
weixin_33953249的博客
05-29 256
2019独角兽企业重金招聘Python工程师标准>>> ...
容器技术重磅解密!执行引擎真相大揭秘!
极客重生
05-17 536
当前计算机工程方向已经进入云原生时代,容器容器编排(K8s)成为计算机工程方向热门技术,之前文章“容器技术之发展简史"梳理了容器和云原生的关系,我们得出容器技术恒等式:我们今天先聊执行引擎,后续将有一篇关于容器镜像的专题文章具体聊镜像格式和镜像加速。从集装箱革命说起容器技术需要解决的核心问题之一运行时的环境隔离。有一本非常有名的书,叫《集装箱改变世界》,说的是看起来平淡无奇的铁箱子,如何从二十世...
X86_64处理器系统调用机制在linux上的实现
chengwenyang的专栏
06-11 1346
syscall (X86) 硬件机制 X86 64位flat模式提供了快速系统调用硬件机制。使用syscall指令触发系统调用,CPU从用户态(Ring3)切换到特权态(Ring0),使用sysret指令,CPU从内核态切换到用户态。 注意:sysret指令和iret指令是CPU从内核态切换到用户态的两种方式 syscall 指令 执行sysenter指令,发生系统调用时,CPU硬件执行以下动作: 把MSR_LSTAR寄存器的值加载到RIP寄存器,并把当前程序运行的下一条指令(即sysenter
VT Msr Hook Syscall
小烟的博客
02-26 656
VT Hook Syscall
windows 7 x64 下的 System Call
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
11-04 5405
很自然地 windows 7 x64 版本会使用 processor 提供的 syscall/sysret 指令来构造一个快速的调用系统服务例程机制。 ntdll!NtCreateDebugObject: 00000000`76d70680 4c8bd1          mov     r10,rcx 00000000`76d70683 b890000000      mov 
【k8s系列】gvisor安装与containerd集成
weixin_42072280的博客
01-11 2300
【k8s系列】gvisor安装与containerd集成
Linux x86平台获取sys_call_table(3),网络安全研发岗面试复盘总结
最新发布
2401_84139587的博客
04-08 878
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
gVisor的vdso实现
dillanzhou的博客
10-28 596
什么是vdso? vdso是virtual ELF dynamic shared object的缩写,即虚拟动态共享库,其实就是“虚拟的so库”。根据linux手册https://man7.org/linux/man-pages/man7/vdso.7.html的介绍,vdso是内核内置的一个so库。在启动ELF程序时,内核会自动将其映射到进程的虚拟地址空间。通过cat /proc/$pid/maps可以看到每个进程vdso映射的虚拟地址。 vdso的主要存在意义,是为一些频繁调用的内核功能提供用户
ARM平台Linux内核启动详解
- **Bootloader阶段**:在内核启动之前,通常先运行一个bootloader(如U-Boot或RedBoot),负责加载内核到内存并设置必要的硬件环境。 - **跳转到内核**:Bootloader将控制权传递给内核,通常是通过执行内核映像...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值