Chrome中Sandbox沙盒技术Linux Sandbox

最新推荐文章于 2024-03-25 09:32:43 发布
最新推荐文章于 2024-03-25 09:32:43 发布
阅读量4.7k 收藏 4
点赞数
分类专栏: 学习笔记 linux Chromium Chromium OS Chrome OS Chrome 文章标签: Chrome Chromium Chromeos chromiumos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/realDonaldTrump/article/details/83443174
版权
学习笔记 同时被 3 个专栏收录
87 篇文章 1 订阅
订阅专栏
linux
45 篇文章 0 订阅
订阅专栏
Chromium OS
11 篇文章 0 订阅
订阅专栏

文章目录

Chromium OS中沙盒相关

以下各个设施均与minijail相关,与之配合运行

  • User ids
  • Capacities
  • Namespace
  • Seccomp filters
  • Securely mounting cryptohome daemon store folders

需要注意:以下技术并不完全都是chrome os的,大部分都是linux支持的。

Linux Sandboxing Summary

image
上图包含了几个Sandbox的分层,括号内写了哪些东西主要用了哪些Sandbox Layer

User ids

作用:指定某个服务或应用以哪个用户的身份运行。即minijail的-u参数。
相当于Windows的右键-以其它用户身份执行。

exec minijail0 -u devbroker -c 0009 /usr/bin/permission_broker \
    --access_group=${PERMISSION_BROKER_GRANT_GROUP}

此时应用的权限被局限于该用户拥有的权限。

Capabilities

当一些非特权应用,需要一些root用户才能调用的函数时,则通过Capacities将一些root才能使用的函数授权给普通权限的程序去使用

作用:使能非root服务、进程调用要求root权限的函数。

在conf文件中对exec minijail0添加-c 参数即可开放对应的函数。

exec minijail0 -u devbroker -c 0009 /usr/bin/permission_broker \
    --access_group=${PERMISSION_BROKER_GRANT_GROUP}

其中,-c后面跟的mask指示了允许非root程序授权调用哪些root函数。mask的计算方法如下。

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/include/uapi/linux/capability.h
计算方法:#define CAP_TO_MASK(x)      (1 << ((x) & 31)) /* mask for indexed __u32 */

其中,-c跟着的mask值并不是一定只包含了一个函数,有可能是多个函数经过计算之后得出的mask值,而后进行相加。例如:样例中的0009就不是只开放了一个函数,经过计算,发现是开放了两个函数。

通过mask得出开放的函数的计算过程如下:

  1. -c 0009:即mask为0000 0000 0000 1001
  2. 判断开放了多少个函数的方法是看二进制中有几多个1。原理是:每个函数对应一个十进制数字,该数字首先执行操作:(x) & 31,然后使用1左移得到的结果:(1 << ((x) & 31)),然后依次按照这个步骤对各个函数计算左移结果,最终将所有左移结果相加。因此二进制中有多少1,那表明开放的函数就有多少个。
  3. 样例中为1001,两个1,两个函数,其中第一个1是8,8是1右移3位得到的,所以(x) & 31就是3。
  4. (x) & 31 == 3因此x=3,查capacities.h得到对应宏定义CAP_FOWNER,即开放的其中一个函数为fowner()

在各个服务的upstart conf文件中找到exec minijail0,添加参数-c MASK 即可授权该服务访问指定的root权限函数

Namespace

Linux namespace可以将各个进程之间分隔开,使得采用了不同命名空间的进程看到的事物视图不相同。

作用:namespace可以让进程拥有自己单独的视图,并且任何对系统的修改不会影响命名空间之外。在命名空间内,进程拥有独立的、不一定等同于真实物理环境的系统环境,且自身的修改不会影响系统。

  • 命名空间是对系统资源的包装。
  • 同一命名空间内的进程可以看到其他进程的修改,但是不同命名空间之间的进程之间不能看到修改。

A namespace wraps a global system resource in an abstraction that
makes it appear to the processes within the namespace that they have
their own isolated instance of the global resource. Changes to the
global resource are visible to other processes that are members of
the namespace, but are invisible to other processes. One use of
namespaces is to implement containers.

/proc/[pid]/ns包含了每个进程所在的命名空间。

Namespace

Seccomp filters

SECure COMPuting

BPF: Berkeley Packet Filter 安全计算模块

*.policy指定规则,告知minijail:

  • 可以调用哪些、不可以调用哪些syscall
  • 哪些syscall可以使用哪些参数而另外的参数不允许使用

policy文件设置对应的syscall为允许调用和禁止调用,通过ebuild文件将*.policy文件安装到指定的位置,在启动时通过minijail的-S参数指定应用的policy文件。

镇上村树
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sandbox-debugger:节点的沙箱调试器
05-01
沙盒调试器 使用chrome://inspect或node-inspect在任何地方调试进程 节点调试端口9229 ⟷ 沙盒调试客户端 ⟷ 沙盒调试代理 使用交互式调试,调试方式与对本地进程的调试方式相同。 支持运行进程 在无法ssh /无法访问的机器上 在没有暴露端口的Docker容器 在 在 在 在 在 在 在 在Runkit上 允许出站Internet通讯到端口80的任何地方 这个怎么运作? 节点在调试模式下打开websocket时,沙盒服务器和客户端都通过代理通过管道传递websocket数据来工作。 运行沙箱服务器 该服务器用作调试消息的关守。 npx sandbox-debugger-server 或者 ᐅ docker run \ --name sandbox-debugger \ -ti \ --rm \ -p 92
no-sandbox:No Sandbox-在没有Sandbox的情况下运行ChromiumChrome的应用程序。 这些基于浏览器的应用程序的TL; DR漏洞利用已在沙盒进行转义
05-14
“无需沙盒即可运行Chrome的应用程序” 网页: : 项目: : 推特: : Chrome浏览器使用沙箱。 在所有基于ChromiumChrome的应用程序都可以找到沙箱状态页面: chrome://沙盒 查看您的Chrome沙盒状态:chrome:// sandbox / (右键单击,复制粘贴URL: Chrome甚至不允许您超链接到该页面! ) 危险 基于Chromium的javascript漏洞可能会影响使用Chromium引擎构建的每个下游应用程序。 影响基于Chromium的应用程序的几乎每天的攻击列表。 Chrome浏览器: https : //cve.mitre.org/cgi-bin/cvekey.cgi?keyword = chrome Chrome: https : //cve.mitre.org/cgi-bin/cvekey.cgi? ke
深入探索Sandboxed API:Google的安全计算新境界
最新发布
gitblog_00067的博客
03-25 278
深入探索Sandboxed API:Google的安全计算新境界 项目地址:https://gitcode.com/google/sandboxed-api 项目简介 Sandboxed API是Google开源的一个项目,它提供了一种安全、高效的机制,允许在隔离的环境执行敏感代码,以保护主应用程序免受潜在恶意行为的影响。这个项目的设计理念是为开发者提供一个可以信赖的平台,在不影响性能的前提下,...
react-sandbox:沙盒与React一起玩
04-29
React沙盒 沙盒可与React一起玩。 包括Browserify,Watchify和LiveReload。 先决条件 节点和NPM (可选) 入门 npm install npm run watch 在打开Chrome (可选)启用LiveReload Chrome扩展程序 开发./js/main.js
php-sandbox:PHP沙盒,用于尝试您的代码
05-08
PHP沙箱 *〜改进并精简了分支〜* Web编辑器尝试您PHP代码。 创建测试文件或使用php的交互模式来尝试随机php代码段可能有些麻烦。 这使您可以直接从浏览器轻松运行少量代码。 它是安全的,因为只能从localhost访问,并且非常易于设置和使用。 提示:按Ctrl + Enter评估代码 关于这把叉子 这是Jordi Boggiano原始代码的分支。 变化: 更改颜色,使其更像具有Monokai主题的Sublime Text 布局略有改善 删除了屏幕底部的信息文本 现在输出是纯文本,而不是HTML(对于调试更有用) 删除了“ krumo”(某种PHP库) 删除了“ clippy”(用于剪贴板支持的小程序) 删除了“ Melody”插件和作曲家文件 将ACE更新为1.2.0,并提供支持trait关键字的补丁 隐藏的加载器动画(已损坏) 截屏 安装 克隆git re
chrome-extension-sandbox:玩转 Chrome 扩展
06-09
Chrome扩展沙箱 玩转 Chrome 扩展
浏览器的沙盒技术
fly_enum的博客
03-21 1068
但是,如果沙盒浏览器被禁用,恶意程序就可以利用网络浏览器的漏洞并破坏用户的本地系统和资源。市场上有 Sandboxie、BitBox 和其他沙盒工具,当企业受到高级持续性威胁 (APT) 的攻击,可以沙盒技术进行攻击的防御,可以为未知的攻击做好准备。沙盒浏览器创建了一个隔离环境,用户可以从第三方来源下载和安装应用程序,并在安全、隔离的环境运行它们,即使他们的行为可疑。视觉流的工作方式类似于 VDI(虚拟桌面基础设施)系统,其浏览器在基于云的服务器上运行,视觉输出显示在用户的本地计算机上。
浏览器沙箱模型
weixin_30633507的博客
04-05 511
简介   沙箱模型技术是浏览器和其他应用程序保护安全的一种组件关系设计模式,最初发明人为GreenBorder公司。2007年5月,谷歌公司收购了该公司,也将此项专利应用于chrome浏览器的研发。 背景   一般而言,对于网络上的网页的JavaScript代码和插件都是不受信的(除非是经过认证的网站),特别是一些故意设计侵入浏览器运行的主机代码更是非常危险,通过一些手段或者浏览...
解决Linux安装AppImage文件chrome-sandbox出错问题
冰夜翎博客
10-09 1556
该问题为使用Electron给软件打包时产生的错误,是Linux内核的user_namespaces没有自动打开的问题。只要将给出的chrome-sandbox文件给予root用户并赋予4755权限,重新点击运行即可。该命令只适用于Debian/Ubuntu系列Linux发行版,未测试其他发行版。,即解决网易云音乐该问题时的操作,但不适用于picgo。解决的办法有四种,第四种解决方法,一劳永逸。,但每次开机都要运行该命令。
Linux权限相关(随手记)
liu__ting的博客
04-25 178
在移植cef的应用程序时,由于使用谷歌浏览器内核,因此有时会报如下错误。 因此进入chrome-sandbox的目录,按照提示修改其相应权限。 sudo chown root.root chrome-sandbox sudo chmod 4755 chrome-sandbox 一般情况下,chmod的权限为三位数组chmod是Linux下设置文件权限的命令,后面的数字表示不同用户或用户组的权限。 一般是三个数字: 第一个数字表示文件所有者的权限 第二个数字表示与文件所有者同属一个用...
ng-poly-sandbox:这只是用于重构ng-poly任务的沙盒
05-24
这仅仅是用于拒绝NG-POLY任务的沙盒 用版本0.10.1生成 设置 安装 这也将安装npm。 运行npm install -g bower gulp yo [email protected] 这样可以从命令行使用Bower,Gulp和Yeoman生成器。 运行npm ...
android的源码目录结构
z20230508的博客
10-25 317
|-- com.google.android (有个framework.jar)| |-- com.google.android.googlelogin (有个client.jar)| |-- Settings (开机设定,包括电量、蓝牙、设备信息、界面、wifi等)
deepin_20Bate运行软件时chrome-sandbox出现问题的解决方法
qq_31910239的博客
08-11 860
个人是在运行Typora时出现问题,其他软件同理 安装 Typora官网直接下载源代码包 cd到安装目录执行: sudo -zvxf xxx.tar.gz cd Typora-linux-x64 ./Typora 能打开则成功 运行时chrome-sandbox出问题 执行./Typora时反馈 FATAL:setuid_sandbox_host.cc(158)] The SUID sandbox helper binary was found, but is not configured correctl
android 9.0user版本如何开启root,打开su
热门推荐
Framework-coder的博客
06-23 1万+
在默认情况下,adbd是以uid root的权限启动的。不过它确实还会通过函数drop_privileges()主动把自己降到uid shell : shell,如下: # /system/core/adb/daemon/main.cpp static void drop_privileges(int server_port) { ScopedMinijail jail(minijail_new()); // Add extra groups: // AID_ADB to acc
如何在 C++ 调用 python 解析器来执行 python 代码(七)?
余璜的技术博客
03-09 397
沙箱上头,继续聊沙箱。今天这个沙箱叫 minijail,是。一搜不得了,是 Google 官方维护的沙箱,用在了 Chrome
鸿蒙系统Root用户权限关闭
求变,从思想开始
04-29 9609
虽然鸿蒙系统对外宣传天然无Root,但只要是代码开发者,在使用hdc时,‘#’出现在你的面前,当然对于 1. 开发调试者是一种窃喜,想怎么往里推文件,修改参数。但从最终用户来看,这是安全隐患。如何关闭root,切 换到shell用户呢,解决… 解决思路: 1.参考Android init启动流程,参考对应的adb守护进程,发现在其在启动流程,切换了root 到shell。 static void drop_privileges(int server_port) { if (should_drop.
chromium目录下各个dll的作用
就是那个党伟
09-17 4894
1.chrome.dll 浏览器的内核文件,执行chrome几乎所有的功能 2.bink_web.dll 3.content.dll 提供内核多线程的sandbox功能的模块 4.resources.pak 是chrome的资源文件,包括很多如chrome://开头的页面资源等 5.icudtl.dat 6.nacl_irt_x86_32.nexe Google Nat...
解决 chromedp 无头模式下页面登录后的爬虫问题
qq_40119224的博客
08-08 937
无头就抓不到新页面信息,有头就没有问题......
chrome-sandbox
09-21
chrome-sandboxChrome浏览器的一个进程,用于提供沙盒功能。沙盒是一种安全机制,可以隔离应用程序或进程,以防止它们对操作系统或其他应用程序造成损害。在Chrome沙盒功能由chrome-sandbox进程实现,它负责隔离和限制浏览器的渲染引擎和其他进程之间的通信,以确保安全性。然而,有时在执行基于Chrome沙盒测试时,可能会遇到错误提示“The Application Has Failed to Initialize”,这可能是由于沙盒功能导致的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值