云原生容器场景下的内核安全

Posted 2022-07-01 哪吒

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了云原生容器场景下的内核安全相关的知识，希望对你有一定的参考价值。

一、系统安全现状

首先我们来看一下系统安全，特别是系统安全的现状，这是Linux2008~2019年的内核代码的数量，然后到2019年已经超过2300万行，现在我们的最新统计数据是将近2800万行代码。

另一方面如果我们只看Linux内核，我们觉得它的代码量挺高的，但是我们如果把它放到整个安卓的生态里面来看，其实它只是在很小的一部分，在Linux内核之上，还有Hal hardware abstraction there这一层，上面还有android的run time层，再往上面有安装的framework，还有applications。

二、攻防演化

代码量跟bug的数量或者说跟漏洞的数量它是成正比的，代码量越多，它的bug漏洞数目也会越大，所以这是Linux内核的一些现状。在最近一些年，它里面的bug数量每年都超过125，这都是Linux内核里边可以被利用的bug数量，代码量巨大就会导致新的漏洞，所以软件漏洞无法避免，这些软件漏洞往往会被攻击者利用，这就会产生新型的攻击。

另一方面，新型的攻击又催生了新型的防护，所以对操作系统内核的攻防是在不断的对抗中演化升级的，它的攻防不是静态的，不是一下子就能全部防住的，它是在不断对抗中演化升级，所以没有绝对安全的系统，也没有绝对强的攻击手段，他们都是相对在演化，所以我们有一张这样的图，如果来看我们攻防演化，我们按照这个手段对它进行分类的话，首先是代码注入攻击，然后防护代码注入攻击，研究人员提出了带数据不可执行，然后对进行防护。

攻击者发现他的攻击手段被防护了之后，进而提出了代码重用攻击，然后安全研究人员又提出了新型的防护，叫控制类完整性进行部分防护。在这之后攻击者又提出了数据攻击，而现在我们又提出了这个数据有完整性一些保护。

三、代码注入攻防

1、通过内核漏洞

篡改已有代码text section
注入新的代码
或者跳到用户代码，比如jump-to-user

2、系统控制能力大

可执行新代码
危害大

3、多见于早期Linux

比如Kernel Text RWX (Android 2013)

4、内核代码注入防护

保护已有代码W^X
硬件支持，杜绝注入
数据不可执行(2001 XN ARM; NX AMD)
特权不可执行(2011 SMEP Intel; PXN ARM)

5、通过内核页表来实现

在内核页表设置相应的保护位，实现保护
多数Android设备, 包含Google Pixel
防御性弱，内核页表被改掉即失效
对内核页表没有保护
攻击者可篡改页表，去掉保护
进而篡改代码

6、通过隔离环境保护内核页表

通过隔离环境，避免内核漏洞影响
实现了纵深防御defense-in-depth

四、内核代码重用攻击

无法注入新代码，重用已有代码，通过篡改控制流，拼接已有函数片段，实现攻击函数，也被称为控制流劫持攻击。

五、内核数据攻击

1、控制数据被保护后，攻击者提出非控制数据攻击

返回地址和函数指针以外的数据
Data-oriented programming
影响关键的安全特性
仅利用非控制数据攻击做到内核提权

2、非控制数据防护

非控制数据攻击的一个例子就是s一Linux绕过，在Linux内核的代码44.4版本里发现一个全局变量，如果是0，就会永远是真，所以就永远绕过，攻击者一般拿到这个之后，获得了内存的读写权限，首先把变量写成0，Linux的所有检查都会绕过，但是现在对于非控制数据还没有很好的有效防护，所以现在主流的操作系统也都没有部署对数据攻击的有效防护。

六、内核攻防演化

1、攻击演化

它的攻击复杂性在指数增进，同时它的隐蔽性也在增加，代码注入工具很容易被检测，因为它改了代码或者增加了代码，代码重用攻击只改了written Reiss的方向，所以它已经比较难检测，而数据攻击就更难检测，这么多数据，你根本不知道哪些被篡改。

虽然这个攻击的难度在增加，但对于我们比较有利的是它的控制能力却在减少，代码注入攻击能力最强，代码注入攻击可以拼接代码片段，也可以做到图例完整。

数据攻击就只能通过筛选数据，并且你的攻击范围只能是数据控制的一些代码，所以它的控制能力在减弱，但是它依然能够入侵操作系统内核，依然能够做到权限提升，所以数据攻击危害性还是很大。

2、防护演化

防护方面的演化，每一个攻击出来，首先都会提出一些防护的方案和解决思路，并且一般都是通过一些学术论文发表，大家提出的防护方案，后续这些学术的原型软件的方案通过沉淀，通过不断的优化，硬件厂商会把它做到硬件化，比如说后面会有一些AMD或者intel，会把它真正的实现到硬件里面来提供支持。

硬件首先能提高安全性，其次能减少性能开销，所以一般硬件被防护机制支持后，这种安全机制一般会大规模的商用，这就是防护的研发趋势，从软件到硬件，从学术界的原型到产业界的实用方案。

3、防护方案的滞后性

对于代码注入攻击，最早是在1988年出现的，到2001年才有硬件的防护方案，所以滞后13年，代码重用攻击滞后17年，而数据攻击到现在还没有很好的防护方案，所以它的滞后性肯定会更多。

4、最近几年的攻击方式总结

下面对攻击方法进行一个总结，这是最近几年的一些总结，蓝色的是代码重用攻击，红色的是数据攻击。这里面我们可以看到代码注入攻击已经很少了，一些比较有名的论文，都是基于代码重用攻击或者数据攻击的。

这里面每一个有图标的都是一个真实的攻击案例。

我们总结一下防御的方法，防御的方法就是内存的安全问题，主要可以归为两类，一个是越界的独，一个是越界的写。

越界的读，如果它读了不该读到的数据，就会造成一个Information。越界的写，如果他写代码的话，它就是代码输入攻击，如果他写控制数据，它就是代码重用攻击，也要控制这个攻击，如果他写非控制数据的话，叫面向数据，这是传统的系统内核攻防的演化，现在这个容器应用更加广泛了，容操系统在容器的场景下，面临一些特殊的安全挑战。

七、容器介绍

1、什么是容器

容器是操作系统级虚拟化，它是由同一个内核虚拟出来多个用户空间的实例，每个用户空间的实例，不需要维护单纯的内核，用户空间的实例，也叫容器实例，它不用单独维护内核，所以它效率高，启动快，并且配置比较灵活，会被广泛应用于代码。

2、操作系统级虚拟化

由同一内核虚拟出多个用户空间实例，无需维护单独内核

3、具有效率高、启动快、配置灵活等特点

3、由namespaces负责隔离

首先是提供了namespace，它负责隔离，namespace相当于镜像。如果我们说一种资源，它被namespace的，就说这个资源在容器看到的跟 Linux内核外边看到的是不一样的，相当于给容器一个单独的镜像，现在内核支持了8种namespace，这叫资源的限制，叫control group，它可以限制CPU，可以限制内存，可以限制一些设备资源，它可以限制你用了多少CPU，用了多少内存，对IO的访问速度是多少。