【技术实现步骤摘要】
本专利技术属于容器安全,具体涉及一种基于静态分析的容器伪文件系统隔离性与可利用性分析方法、系统、设备及介质。
技术介绍
1、伪文件系统是应用程序与操作系统进行交互的一种主要方式,在打开其中文件时并不是从硬盘等数据存储设备中读取信息,而是对应内核中的一系列函数执行。在容器环境创建时,容器运行时将为容器环境挂载procfs、sysfs等伪文件系统。通过在伪文件读取的内核执行过程中使用linux命名空间技术,可以实现相关子系统内容的容器化隔离。这种隔离机制使得伪文件仅以容器的视角展现系统信息,从而有效限制容器进程通过伪文件获得宿主机级别系统信息。但是,由于linux命名空间技术仅实现了pid(进程号)、mnt(挂载点)、(utc)主机名、(net)网络栈、ipc(进程间通信)、user(用户列表)6类子系统资源的容器化隔离,而procfs与sysfs伪文件系统中还暴露了大量系统内核中无对应命名空间类型的资源信息。因此当容器中进程读取此类未隔离伪文件时,宿主机级别的系统信息将被泄露。在这些未隔离的系统资源中,存在一些在容器化改造时被视为低优先级...
【技术保护点】
1.一种基于静态分析的容器伪文件系统隔离性与可利用性分析方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于静态分析的容器伪文件系统隔离性与可利用性分析方法,其特征在于,所述步骤1具体包括:
3.根据权利要求1所述的一种基于静态分析的容器伪文件系统隔离性与可利用性分析方法,其特征在于,所述步骤2具体包括:
4.根据权利要求1所述的一种基于静态分析的容器伪文件系统隔离性与可利用性分析方法,其特征在于,所述步骤3通过以下三种角度进行分析:
5.根据权利要求1所述的一种基于静态分析的容器伪文件系统隔离性与可利用性...
【技术特征摘要】
1.一种基于静态分析的容器伪文件系统隔离性与可利用性分析方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于静态分析的容器伪文件系统隔离性与可利用性分析方法,其特征在于,所述步骤1具体包括:
3.根据权利要求1所述的一种基于静态分析的容器伪文件系统隔离性与可利用性分析方法,其特征在于,所述步骤2具体包括:
4.根据权利要求1所述的一种基于静态分析的容器伪文件系统隔离性与可利用性分析方法,其特征在于,所述步骤3通过以下三种角度进行分析:
5.根据权利要求1所述的一种基于静态分析...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。