基于MNT隨機化容器文件系統(tǒng)安全性加強技術

魏小鋒，郭玉東，林鍵

信息工程大學數(shù)學工程與先進計算國家重點實驗室，鄭州450001

基于MNT隨機化容器文件系統(tǒng)安全性加強技術

魏小鋒，郭玉東，林鍵

信息工程大學數(shù)學工程與先進計算國家重點實驗室，鄭州450001

CNKI網絡出版：2017-04-14,http://kns.cnki.net/kcms/detail/11.2127.TP.20170414.1717.004.html

1 引言

Linux內核Namespaces是實現(xiàn)基于容器的操作系統(tǒng)級虛擬化的關鍵技術，提供了資源虛擬化和隔離機制，將PID、IPC、Network等全局性的系統(tǒng)資源劃分到某個特定的Namespace。所有容器能夠共享主機內核，所有指令在CPU核心的本地運行，提高資源利用率和能快速啟動的優(yōu)點，但也增加了使用的安全風險。容器的使用風險主要集中在共享內核、網絡、系統(tǒng)調用、設備或磁盤能夠直接訪問，從而引發(fā)信息泄漏，這些是導致容器安全問題的源頭。最近幾年暴露出的漏洞[1]顯示出：文件系統(tǒng)（fielsystem）中的procfs和sysfs等文件系統(tǒng)不支持名字空間，容易導致大量信息泄漏、客戶機逃離和特權升級等問題產生。

目前，針對隔離性不夠徹底的問題，容器的典型代表Docker[2-3]采用通過lxcfs文件系統(tǒng)[4]、copy-on-write[5]機制和支持MAC等訪問控制，達到保護文件系統(tǒng)的目的。以上保護機制，都沒有對文件名/目錄進行保護，攻擊者根據(jù)文件名/目錄可以推斷出此文件的性質，而且容器中默認設置的權限比較高，某些惡意用戶進程可以讀取procfs和sysfs的某些敏感文件。

針對以上不足，提出了基于MNT名字空間隨機化的方法，簡稱MNTRand。通過修改Linux的MNT名字空間創(chuàng)建及工作過程，即利用MNT名字空間創(chuàng)建時產生的AES密鑰，對文件名/目錄使用AES加密算法[6]進行處理，在不影響MNT名字空間內的用戶進程正常運行的情況下，使進程只能看到模糊的文件目錄樹，實現(xiàn)了對目錄的屏蔽，有效防護掃描軟件針對枚舉目錄和特定敏感文件的攻擊，進而減少信息泄漏的風險，增大惡意軟件的漏洞探測和系統(tǒng)漏洞的利用難度。

2 容器關鍵技術分析

2.1 容器

容器作為一種操作系統(tǒng)層的虛擬化技術，它為應用進程提供虛擬的執(zhí)行環(huán)境，一個虛擬的執(zhí)行環(huán)境就是一個容器。在容器中，只有一個操作系統(tǒng)內核，所有的用戶進程都共享主機內核，不需要指令級模擬，不需要即時（Just-in-time）編譯，降低了硬件虛擬化的復雜性，容器可以實現(xiàn)進程級別的隔離，大大提升了虛擬化的粒度，提高了系統(tǒng)資源利用的效率；容器其性能損耗降到最低。

2.2 Namespace機制

Namespaces[7]是Linux內核提供的一種操作系統(tǒng)虛擬化（OS-Virtualization）的機制，它提供一種資源虛擬化和隔離方案：PID、IPC、Network等系統(tǒng)資源不再是全局性的，而是屬于某個特定的Namespace，每個進程都與一個名稱空間相關聯(lián)，只能看到與該名稱空間相關聯(lián)的資源。這樣每個進程（或組）可以對資源有一個獨特的視角。目前在Linux系統(tǒng)上實現(xiàn)操作系統(tǒng)虛擬化（OS-Virtualization）系統(tǒng)有Linux VServer、OpenVZ、LXC（Linux Container）、Docker、Rocket/rkt等，以上種種本質來說都是使用了Linux Namespace來進行隔離。Linux nameapce使用clone（2）setns（2）和unshare（2）系統(tǒng)調用，其系統(tǒng)調用標志、隔離內部和需要的權限如表1所示。未來，Linux內核可能還將加入Security Namespace、Security KeyNamespace、Device Namespace和Time Namespace等名字空間[8]。

2.3 容器文件系統(tǒng)存在的風險

容器共享內核的和缺乏完整的內核名字空間面臨的危險性不能夠忽視，Linux許多內核特征仍沒有實現(xiàn)名字空間隔離[9]，例如procfs和sysfs文件系統(tǒng)不支持名字空間，加之設備等名字空間不完善，這使得攻擊者很容易繞過檢查保護特權容器的需要步驟，形成非法訪問和修改，造成大量不同的信息泄漏和其他漏洞。下面以procfs文件系統(tǒng)的信息泄漏的問題為例子，來說明容器存在威脅。proc文件系統(tǒng)（procfs），是一個處于內存中的文件系統(tǒng)，它用于顯示當前進程的狀態(tài)信息，如：進程處于的狀態(tài)，文件打開描述符。另外，它還可以用于顯示當前系統(tǒng)運行的狀態(tài)如CPU信息、內存信息、中斷信息，網絡流量等等重要敏感的信息。因為容器從主機上繼承此文件系統(tǒng)，但由于procfs缺乏名字空間的支持，/proc直接暴露給普通用戶，提供了重要的信息泄漏來源，這些信息能夠很方便地引導其他攻擊[9-12]。

3 MNTRand設計與實現(xiàn)

分析procfs和sysfs等文件系統(tǒng)存在的信息泄漏等方式，例如：CVE-2012-0056[12]是基于特定文件（/proc/pid/mem）信息泄漏進行的攻擊，CVE-2015-2925[13]是通過內核prepend_path函數(shù)漏洞繞過chroot隔離，獲得絕對路徑名。還有的一些攻擊基于遠程枚舉目錄（如ls和dir等）針對此類基于文件名/目錄的攻擊，提出MNT名字空間隨機化的方法，即在MNT名字空間基礎上加入文件名/目錄隨機化，對文件名/目錄采用AES加密處理，使名字空間的進程所能看到是一個隨機化后的目錄樹，即模糊進程能看到的目錄樹，而整個系統(tǒng)的根用戶的進程目錄不受任何影響。

3.1 MNTRand框架設計

Linux VFS（虛擬文件系統(tǒng)）實現(xiàn)了對文件系統(tǒng)的管理，它包括索引節(jié)點結構inode、目錄項結構dentry等。本文提出基于MNT名字空間隨機化，是對文件名/目錄進行操作，不改變inode結構和文件實體間的組織關系，只改變了文件實體名稱，即dentry結構中的d_name，相當于給文件名/目錄上加上mask。MNTRand可分為三個部分：一是MNT名字空間密鑰（keys）的產生，二是利用keys對文件名/目錄進行加密，進而形成文件名/目錄隨機化的MNT名字空間；三是對路徑名進行解析，實現(xiàn)在文件名/目錄隨機化的MNT名字空間內的進程能夠正常訪問文件。其整體框架如圖1所示。

表1 Linux實現(xiàn)的六項Namespace

圖1 MNTRand框架

3.2 MNTRand密鑰的產生與用戶管理

文件系統(tǒng)注冊安裝后，安裝點結構vfsmount中的域mnt_ns指向文件系統(tǒng)所屬的名字空間mnt_namespace。在新創(chuàng)建一個MNT名字空間時（系統(tǒng)接收到CLONE_NEWNS標志），使用mnt_namespace*copy_mnt_ns（）進行創(chuàng)建new_ns。為方便密鑰的管理，mnt_namespace結構中加入keys結構，同時保證一個MNT名字空間對應唯一的keys，即重新定義如下：

考慮到同一個操作系統(tǒng)中會有多個操作者，限制只有創(chuàng)建MNT名字空間的根用戶才有權限決定文件名/目錄是否加密，普通用戶采用授權方式獲得自動加密和解密的權限，其他普通用戶只有對文件名/目錄操作的權限。

為方便普通用戶通過授權方式能夠使用正常的文件名/目錄來操作文件，MNTRand采用白名單技術，即系統(tǒng)管理員將可信用戶的uid和gid保存在白名單文件（WhiteList）中。因為MNT名字空間只具有隔離文件系統(tǒng)的功能，并不具備用戶管理功能，故MNT名字空間需要聯(lián)合USER名字空間一起使用。而在mnt_namespace結構內嵌有user_namespace*user_ns，在MNT名字空間創(chuàng)建時同時創(chuàng)建user名字空間（系統(tǒng)接收到CLONE_NEWUSER標志）。如使用絕對路徑名打開文件時，則判斷打開進程的uid/gid是否WhiteList授權的用戶uid/gid是否匹配，而授權普通用戶在創(chuàng)建的名字空間內具有正常使用文件名/目錄的權限。

為了阻止攻擊者獲取正常的文件名/目錄，本文中AES加密所需的密鑰（keys）是由內核函數(shù)get_random_int（）隨機產生的，即：new_ns->keys=get_random_int（），并將密鑰與mnt_namespace結構一樣僅保存在內存中。如果攻擊者想要成功獲得正常文件名/目錄，要么需要獲取創(chuàng)建MNT名字空間的根用戶權限，要么需要對駐留內核程序和內存中的數(shù)據(jù)進行操作，這無疑增加了攻擊難度。

3.3 MNTRand對文件名/目錄加密

用戶進程查看文件名/目錄時，由各個fs內部的read_dir實現(xiàn)來完成目錄遍歷操作，對于遍歷到的每個文件或子目錄，調用函數(shù)filldir（）來填充buf，并把數(shù)據(jù)傳遞給到用戶空間。MNTRand對文件名/目錄加密，就是對filldir（）函數(shù)遍歷得到文件名/目錄，采用內核/crypto/aes_generic.c中aes_encrypt（）函數(shù)對進行加密。其流程如圖2所示。其中，本文提出的對文件名/目錄的加密并不包括‘.’和‘..’，因為在Linux系統(tǒng)中，‘.’表示當前目錄，‘..’表示上級目錄，并且在任何目錄中，都有這樣兩個子目錄。如果對‘.’和‘..’加密的話，攻擊者在知道‘.’和‘..’存在的情況下，可使用已知明文的方法進行攻擊。進而威脅整個加密系統(tǒng)。在新的MNT名字空間內的普通用戶進程看到的目錄樹是經過AES加密過的隨機化目錄樹，其可用信息大為減少。

圖2 MNTRand文件名/目錄加密流程

3.4 MNTRand對文件名/目錄解密

VFS實現(xiàn)文件管理主要依據(jù)全局目錄樹[14]。在全局目錄樹中，任何一個節(jié)點，都有一個路徑名，并可分為絕對路徑名和相對路徑名。在進程管理結構task_struct中，fs域指向一個fs_struct結構，其中root是進程的主目錄，pwd是進程的當前工作目錄。絕對路徑名和相對路徑名都可用于標識文件和目錄。在訪問一個文件或目錄之前，首要任務是找到路徑名所標識的實體，并為其建立索引節(jié)點結構（inode）和目錄項結構（dentry），這一過程稱為路徑名解析。Linux用path結構描述實體的路徑信息，用path_lookup（）系統(tǒng)實現(xiàn)路徑名解析。

在實現(xiàn)MNT名字空間文件名/目錄隨機化后，當要訪問一個文件或目錄時，進程提供的可以是正常的路徑名，也可以是隨機化后的路徑名。（1）當使用正常路徑名時，需要對訪問文件或目錄的用戶進行權限檢查，只有授權用戶具有訪問權限，其他用戶均不具備使用正常路徑名訪問權限，然后再進行路徑解析。（2）當使用隨機化后路徑名時，為不影響進程正常運行，需要在解析路徑名時，加入對已隨機化的文件名進行解密處理（aes_decrypt）。當路徑解析時，path指向當前目錄，假設NAME為要解析的子路徑名，首先要對NAME進行解密，得出普通Linux文件系統(tǒng)能夠識別的name，再根據(jù)當前目錄名為name的dentry，進行正常的路徑解析，直至路徑名解析完畢。其流程如圖3所示。此過程是對進程透明的，進程并不知道其解密過程及密鑰位置。

圖3 MNTRand對文件名/目錄進行解密

4 測試與分析

通過修改Linux內核3.14.70版本實現(xiàn)了基于MNT名字空間隨機化的原型系統(tǒng)，簡記為MNTRAND，修改編譯后生成的64位內核在Debian GNU/Linux x86_64上正常運行。

4.1 MNTRand加強文件系統(tǒng)可行性分析

網絡攻擊過程一般分為：系統(tǒng)掃描、目標檢測、系統(tǒng)訪問、提升特權、竊取信息、創(chuàng)建后門、蹤跡隱藏和損壞系統(tǒng)等。目標檢測、系統(tǒng)訪問、提升特權和竊取信息可重復多次，其中，目標檢測和信息竊取是攻擊過程中的關鍵環(huán)節(jié)，它關系到系統(tǒng)訪問和特權提升的成功與否。

假設一個完整的網絡攻擊形式化過程有n步，記為序組：＜CH1,CH2,CH3,…,CHn-1,CHn＞。

網絡攻擊鏈代表了攻擊者實施攻擊步驟的狀態(tài)轉移，直觀描述為如下：

由于目標對網絡和系統(tǒng)的防護以及攻擊者受到自身技術水平的限制，攻擊者發(fā)起一次網絡攻擊時，其處于攻擊鏈某個分量狀態(tài)將依一定的概率成功，如果該概率為零，將視其為攻擊失敗。在此，假設網絡攻擊鏈的各個狀態(tài)是相互獨立的。

（1）網絡攻擊鏈CH的成功概率

對1≤i≤N，設CH的狀態(tài)CHi成功的概率為pi，即攻擊者完成該步驟的成功概率。由于攻擊鏈各個狀態(tài)是相互獨立的，各個狀態(tài)均成功的總概率為各pi之積，稱之為網絡攻擊鏈CH的成功概率P(CH)=p1p2…pn。若P(CH)=0，稱為網絡攻擊鏈斷裂，此時必存在某個1≤k≤n使得pk=0。

（2）文件名/目錄隨機化后攻擊成功概率

文件名/目錄隨機化后，其文件名及目錄發(fā)生了隨機改變，與傳統(tǒng)名字空間內的文件及目錄不同，在一定時間內攻擊者獲取發(fā)起攻擊所需的目標系統(tǒng)知識減少或獲取目標信息的復雜度增加，對1≤i≤N，設CH的狀態(tài)CHi成功的概率為因此在攻擊鏈中各狀態(tài)的成功概率網絡攻擊鏈CH的成功概率Pσ(CH)=，則網絡攻擊鏈CH的成功概率滿足：

因此，基于MNT名字空間的文件名/目錄隨機化，能有效減少網絡攻擊的成功率。

4.2 功能性測試

本測試基于Linux kernel 3.14.70，漏洞掃描工具為lynis[15]，其中，基于MNTRand系統(tǒng)分為使用授權普通用戶和非授權用戶兩種進行操作。測試結果如表2所示。

表2 lynis測試結果

分析其掃描日志文件（lynis.log）可以發(fā)現(xiàn)，lynis是使用絕對路徑或在枚舉目錄找到目標文件的。使用授權用戶的基于MNT名字空間文件名/目錄隨機化的33個建議中，4個是調用枚舉目錄命令，找不到相應的文件而發(fā)生的建議，11個是基于絕對路徑的掃描，但權限拒絕（Permission denied），建議使用根用戶；減少的7個警告中，4個是基于絕對路徑名，權限拒絕，改為建議，另外3個雖然也是權限拒絕，但沒有報任何警告或建議?；诜鞘跈嗟挠脩魺o法使用絕對路徑名而發(fā)生錯誤。目前，攻擊者一般都采用絕對路徑掃描找到相關敏感文件，而基于MNT名字空間文件名/目錄隨機化，禁止了非授權用戶采用固定路徑打開文件，截斷了攻擊鏈，即所以，基于MNT名字空間文件名/目錄隨機化可以防御掃描攻擊。

4.3 性能測試

本測試選用Spec CPU 2006測試集[16]進行測試，測試結果如表3所示。通過測試集中的12個測試程序可以發(fā)現(xiàn)，MNTRand增加的運行開銷約1.82%，平均只有17 ms，最多只有50 ms，對程序運行有限。分析測試結果，其開銷主要是集中在AES加解密上。但因Linux文件名/目錄比較少，即需要加密的對象有限，故增加的性能開銷較少。

5 總結

Linux提出的“一切皆文件”，而某些文件泄露出的信息是危險的，它將帶來一些安全問題。本文提出的基于MNT名字空間文件名/目錄隨機化，相當于給文件名/目錄上加上mask，有針對性地加強可能泄露敏感信息的文件名/目錄的防護，能夠有效抵御漏洞掃描工具諸如枚舉目錄命令的攻擊和特定文件攻擊，且只有很低的性能開銷。基于MNT名字空間文件名/目錄隨機化不僅可以用于容器環(huán)境，也可以應用于主機需要隔離進程的環(huán)境。未來，將在MNTRand系統(tǒng)上安裝LXC或Docker，根據(jù)近年來暴漏出的漏洞進一步驗證其防護效果。

表3 SPEC測試集測試結果s

[1] Docker.Docker CVE database[EB/OL].（2017）.https：//www.docker.com/docker-cve-database.

[2] Bui T.Analysis of docker security[J].Computer Science，2015.

[3] Merkel D.Docker：Lightweight Linux containers for consistent development and deployment[J].Linux Journal，2014，2014（239）.

[4] LinuxContainers.org.What’s LXCFS?[EB/OL].（2016-12）.https：//linuxcontainers.org/lxcfs.

[5] Wikipedia.Copy-on-write[EB/OL].（2016-08-14）.https：//en.wikipedia.org/wiki/Copy-on-write.

[6] 郭俊浩，李海燕.AES加密算法在Linux文件系統(tǒng)中的設計與研究[J].信息網絡安全，2009（3）：25-28.

[7] Wikipedia.Linux namespace[EB/OL].（2016-08-02）.https：//en.wikipedia.org/wiki/Linux_namespaces.

[8] Rosen R.Resource management：Linux kernel namespace and cgroups[EB/OL].（2013）.http：//www.cs.ucsb.edu/～rich/class/cs293b-cloud/papers/lxc-namespace.pdf.

[9] Grattafiori A.Understanding and hardening Linux containers[R].NCC Group Whitepaper，2016-04-20.

[10] Kulikov V.CVE Request—kernel：sysctl：restrict write access to dmesg_restrict[EB/OL].（2011-10-26）.http：//seclists.org/oss-sec/2011/q4/155.

[11] Mónica D.Adding sched_debug to the masked paths list[EB/OL].（2016-03-17）.https：//github.com/docker/docker/pull/21263.

[12] Donenfeld J A.CVE-2012-0056：Linux local privilege escalation via SUID/proc/pid/mem write[EB/OL].（2012-01-21）.https：//git.zx2c4.com/CVE-2012-0056.

[13] Horn J.CVE-2015-2925：Linux namespaces：It is possible to escape from bind mounts[EB/OL].（2015-04）.http：//www.openwall.com/lists/oss-security/2015/04/03/7.

[14] 郭玉東，尹青，董衛(wèi)宇.Linux原理與結構[M].西安：西安電子科技大學出版社，2012-03：282-310.

[15] Boelen M.Lynis[EB/OL].（2016-04-12）.https：//cisofy.com/lynis/.

[16] Henning J L.SPEC CPU2006 benchmark descriptions[J].ACM Sigarch Computer Architecture News，2006，34（4）：1-17.

WEI Xiaofeng,GUO Yudong,LIN Jian.Hardening technology for container file system based on MNT namespace randomization.Computer Engineering andApplications,2018,54（6）：81-85.

WEI Xiaofeng,GUO Yudong,LIN Jian

State Key Laboratory of Mathematical Engineering and Advanced Computing,Information Engineering University,Zhengzhou 450001,China

As a virtualization technology of operating system layer,container is widely considered to be the top resources utilization rate virtualization method,MNT name space is an important technology for container file system isolation,but procfs and sysfs file system does not support namespace,there is the risk of information leakage.In view of the insufficiency of MNT name space,this paper puts forward and realizes the randomization of MNT name space.The work process is created by modifying the Linux MNT namespace,AES encryption methods are used for filename/directory processing,using the name space can see the process of fuzzy file directory tree,shielding of the directory.The experimental results show that the method can effective prevent scanning software from attacking on enumeration directory and specific sensitive files,and performance loss is small,only increases about 1.82%of the operating expenses.

container;mount namespace（MNT namespace）;filename encryption;randomization

容器作為一種操作系統(tǒng)層的虛擬化技術，被廣泛認為是資源使用率最高的虛擬化方法，而MNT名字空間是容器實現(xiàn)文件系統(tǒng)隔離的重要技術，但procfs和sysfs等文件系統(tǒng)不支持名字空間，存在信息泄漏的風險。針對MNT名字空間存在的不足，提出并實現(xiàn)了基于MNT名字空間隨機化，通過修改Linux的MNT名字空間創(chuàng)建及工作過程，對文件名/目錄使用AES加密方式進行處理，使用名字空間內的進程只能看到模糊的文件目錄樹，實現(xiàn)對目錄的屏蔽。實驗結果表明，該方法能有效防護掃描軟件針對枚舉目錄和特定敏感文件的攻擊，而且性能損耗小，只增加約1.82%的運行開銷。

容器；MNT名字空間；文件名加密；隨機化

2016-11-02

2017-01-17

1002-8331（2018）06-0081-05

A

TP309.2

10.3778/j.issn.1002-8331.1611-0054

魏小鋒（1985—），男，碩士研究生，主要研究方向：信息安全；郭玉東（1964—），男，教授，主要研究方向：操作系統(tǒng)、虛擬化；林鍵（1989—），男，博士研究生，主要研究方向：信息安全。