Поделиться
В ядро Linux хотят внедрить «фишку», которой не было в нем 33 года
Huawei озвучил предложение по внедрению в ядро Linux новый для него режим «песочницы». Такой режим есть, например, в Windows – он позволяет запускать изолированную версию ОС внутри основной операционки, чтобы без опаски открывать потенциально опасные файлы и страницы документа. «Песочницы» в Linux не было никогда, хотя он существует с 1991 г.
Китай на страже безопасности Linux
Китайский техногигант Huawei предложил встроить в ядро Linux новый режим «песочницы» (Sandbox Mode), чтобы повысить уровень его безопасности, пишет портал GizChina. Такой режим добавляют в операционные системы или в отдельные программы для возможности работы в изолированной среде и безбоязненного запуска опасного кода, веб-страниц или файлов.
Huawei хочет, чтобы «песочница» в ядре Linux открывала доступ только к определенным адресам памяти при выполнении их кода. За счет этого потенциальные уязвимости при их эксплуатации злоумышленниками не смогут повлиять на работоспособность ядра.
Интегрировать «песочницу» в ядро Linux Huawei хочет серией патчей. По задумке компании, они добавят в нее целевой API и архитектурно-независимую инфраструктуру режима Sandbox.
Достучаться до Торвальдса
Huawei очень активно продвигает свою идею с созданием «песочницы» внутри Linux. Сотрудник компании Петр Тесарик (Petr Tesarik) устроил массовую рассылку писем компаниям – контрибьюторам Linux с этим предложением.
Тесарик отправил сообщения, по меньшей мере, в AMD и Intel. Часть писем ушли в Samsung, Oracle, немецкую SUSE, которая развивает одноименный дистрибутив Linux, а также непосредственно в Linux Foundation.
В своем письме он назвал основной целью внедрения режима «песочницы» сокращение влияния потенциальных ошибок безопасности памяти в коде ядра путем разбиения ядра на части. API SBM позволяет запускать каждый компонент в изолированной среде выполнения. В частности, области памяти, используемые как входы и/или выходы, в «песочнице» будут изолированы от остального ядра и окружены защитными страницами.
Создать то, чего никогда не было
На момент выхода материала не было известно, получил ли сам Линус Торвальдс (Linus Torvalds), создатель Linux письмо Huawei, и как лично он относится к идее внедрения «песочницы» в ядро Linux. Но нельзя не отметить, что Linux сам по себе существует не первый год и даже не первый десяток лет.
Релиз первой стабильной версии ядра Linux пришелся на 1991 г. За прошедшие с того момента 33 года «песочница» так и не была добавлена в него.
Пока нельзя сказать, что именно препятствовало этому – может, Торвальдс не видит в ней смысла, может, подходящую ее реализацию пока никто из сообщества разработчиков не создал, или же, что тоже вполне вероятно, ранее подобная идея попросту не озвучивалась.
Есть и еще один вариант – работа над добавлением «песочницы» идет, но слишком медленно. Несмотря на то, что в последние несколько лет темпы развития ядра Linux значительно выросли, и стабильные его версии выходят несколько раз в год, некоторые его компоненты модифицируются крайне медленно.
Например, в Linux десятилетиями существовала поддержка процессоров Intel семейства i486, которые та выпускала на протяжении 28 лет. Однако к настоящему времени они давно устарели, но Линус Торвальдс лишь в конце 2022 г. задумался об удалении их поддержки из ядра Linux.
Тем временем, «песочница» как таковая уже давно встраивается в операционные системы, хотя и не всегда непосредственно в ядро. Такая опция есть, к примеру, в Windows 11, хотя она и отключена по умолчанию. Если ее активировать. То можно получить своего рода систему в системе – полностью изолированную отдельную ОС, в которой можно безопасно запускать документы и файлы. Если в них скрыто вредоносное ПО, например, шифровальщик, то за пределы «песочницы» он не выберется.
Поделиться
Короткая ссылка
