Власть, над которой безнаказанно глумятся, близка к гибели.

- Любимая, давай займемся сексом! ...

Опубликован RFC для TLS 1.3
Mon, 13 Aug 2018 20:41:22 +0300

Компания Tesla намерена открыть код систем обеспечения безопасности
Mon, 13 Aug 2018 07:13:08 +0300

Представлен порт Qt 1 для современных систем
Mon, 13 Aug 2018 07:06:50 +0300

Dropbox прекращает поддержку всех ФС в Linux, за исключением Ext4
Sun, 12 Aug 2018 08:45:31 +0300

Инициатива по развитию открытого ПО для киноиндустрии
Fri, 10 Aug 2018 23:12:43 +0300

Разработчики bzip2 потеряли контроль над доменом bzip.org
Fri, 10 Aug 2018 10:00:02 +0300

Google назвал нового руководителя Android Open Source Project
Wed, 08 Aug 2018 23:28:27 +0300

Компания Lenovo подключилась к инициативе доставки обновлений прошивок для Linux
Tue, 07 Aug 2018 22:38:07 +0300

Выпуск языка программирования Dart 2.0
Tue, 07 Aug 2018 20:39:46 +0300

Доверие к Let's Encrypt обеспечено во всех списках корневых сертификатов
Mon, 06 Aug 2018 23:46:28 +0300

Тенденция "Bullshit Web"
Sun, 05 Aug 2018 08:30:14 +0300

Mozilla включает телеметрию для вкладок в режиме приватного просмотра
Sat, 04 Aug 2018 08:32:50 +0300

Рейтинг языков программирования 2018 года от издания IEEE Spectrum
Thu, 02 Aug 2018 20:51:09 +0300

Lubuntu перестаёт быть дистрибутивом для устаревшего оборудования
Thu, 02 Aug 2018 08:57:41 +0300

В Firefox 63 для Linux будет включено выполнение WebExtensions в отдельном процессе
Thu, 02 Aug 2018 06:17:53 +0300

Новости OPENNET
Новости

Джеймс Боттомли (James Bottomley), известный разработчик ядра Linux, входивший в координационный технический комитет Linux Foundation, опубликовал результаты анализа безопасности различных систем контейнерной изоляции, включая традиционные контейнеры Docker, недавно представленную систему Nabla, нацеленную на минимизацию выполняемых в основном ядре системных вызовов, и гибридные системы gVisor и Kata Containers с изоляцией на базе гипервизоров.

Для каждого типа систем оценивался уровень защищённости от совершения горизонтальных атак (HAP, Horizontal Attack Profile), при которых брешь в одном из базовых слоёв (например, в ядре Linux или гипервизоре) может привести к полной компрометации всей инфраструктуры и получению контроля за корневым окружением и всеми запущенными контейнерами. Уровень безопасности HAP зависит от объёма привилегированного кода, который вызывается в процессе работы той или оной системы контейнерной изоляции или виртуализации. Чем меньше привилегированного кода вовлечено в выполнение контейнера тем выше безопасность всей системы, так как сокращается число потенциальных векторов для атак и уменьшается вероятность присутствия уязвимостей.

Основным путём совершения горизонтальных атак для контейнеров являются системные вызовы, обработка которых выполняется на стороне общего ядра и, в случае наличия уязвимости в одном из обработчиков системного вызова, злоумышленник, имеющий доступ к одному из контейнеров, может получить контроль над всей инфраструктурой. В случае применения виртуализации на базе гипервизоров главными объектами для атак становятся гипервизор и прослойки для обеспечения доступа к оборудованию или эмуляции оборудования. В системах контейнерной изоляции предоставляется доступ к около 300 системным вызовам, что примерно в 10 раз превышает число гипервызовов (hypercall).

Из-за использования общего ядра Linux обычные контейнеры предоставляют больше векторов для совершения горизонтальных атак. Выходом могли бы стать комбинированные решения на базе виртуализации, использующие легковесное системное окружение, но из-за больших накладных расходов они проигрывают по производительности (наблюдается снижение производительности на 10-30%) и требуют для своей работы больше памяти. В качестве варианта, который обеспечивал бы должную производительность и защищённость, недавно была представлена система контейнерной изоляции Nabla.

В Nabla используется только 9 системных вызовов, а вся основная функциональность, включая TCP/IP стек и код файловых систем, реализована в виде работающего в пространстве пользователя unikernel, не привязанного к ядру ОС и системным библиотекам. Данную систему можно рассматривать как аналог проектов для запуска приложений поверх гипервизора, но вместо гипервизора Nabla использует обычные механизмы контейнерной изоляции с жесткой блокировкой доступа к системным вызовам при помощи фильтров seccomp.

В качестве основы в окружениях Nabla задействованы наработки открытого компанией IBM проекта Solo5, предоставляющего изолированное окружение для запуска произвольных unikernel, в том числе развиваемых проектами Rump, MirageOS и IncludeOS. Вся необходимая системная функциональность прикрепляется к приложению во время сборки. Среди протестированных приложений Nginx, Python, Redis и Node.js, для которых подготовлены типовые образы контейнеров. Для запуска контейнеров применяется runtime runnc (переработанный runc), интегрируемый с инструментарием Docker и совместимый со спецификацией

OCI (Open Container Initiative).

Для анализа безопасности была проведена оценка охвата привилегированного кода, который вовлекается при выполнении изолированных окружений. В частности, было посчитано число уникальных функций ядра, которые были вызваны в процессе работы окружений с Redis, Python и Node.js. Для контейнеров при помощи ftrace учитывалось число выполненных системных вызовов, а для систем виртуализации число гипервызовов и обращений к бэкендам, выполняемым на стороне kvm vhost или Xen dom0.

В результате в Nabla было зафиксировано в 2-3 раза меньше вызовов по сравнению с другими механизмами изоляции, в том числе по сравнению с gVisor (используется собственное мини-ядро на языке Go, предоставляющее необходимые системные вызовы) и Kata Containers (применяется урезанный вариант обычного ядра Linux).

Измерение производительности тестовых заданий на базе Redis, Python и Node.js показало, что показатели конетейнеров Nabla сравнимы с Kata Containers и отстают от Docker на 10-30%. Узким местом Nabla стала реализация сетевого стека в пространстве пользователя. При использовании конфигурации с оркестровкой контейнера напрямую (nabla-raw) без сетевого взаимодействия, производительность Nabla достигла уровня Docker. Низкая производительность gVisor объясняется большими накладными расходами при использовании ptrace и гипервызовов (gVisor-kvm) для привязки системных вызовов к изолированному окружению.

66.7535 76.2325 0.6009 9.6989

НОВОСТИ: Инициатива по развитию открытого ПО для киноиндустрии Fri, 10 Aug 2018 23:12:43 +0300

Академия кинематографических искусств и наук и Linux Foundation учредили новую организацию Academy Software Foundation, которая нацелена на продвижение использования открытого ПО в процессах создания фильмов. В состав новой организации вошли такие компании, как Animal Logic, Autodesk, Blue Sky Studios, Cisco, DNEG, DreamWorks, Epic Games, Foundry, Google Cloud, Intel, SideFX, Walt Disney Studios и Weta Digital.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome