基于MNT随机化容器文件系统安全性加强技术

doi:10.3778/j.issn.1002-8331.1611-0054

计算机工程与应用 ›› 2018, Vol. 54 ›› Issue (6): 81-85.DOI: 10.3778/j.issn.1002-8331.1611-0054

基于MNT随机化容器文件系统安全性加强技术

魏小锋，郭玉东，林键

信息工程大学数学工程与先进计算国家重点实验室，郑州 450001

出版日期:2018-03-15 发布日期:2018-04-03

Hardening technology for container file system based on MNT namespace randomization

WEI Xiaofeng, GUO Yudong, LIN Jian

State Key Laboratory of Mathematical Engineering and Advanced Computing, Information Engineering University, Zhengzhou 450001, China

Online:2018-03-15 Published:2018-04-03

摘要/Abstract

摘要： 容器作为一种操作系统层的虚拟化技术，被广泛认为是资源使用率最高的虚拟化方法，而MNT名字空间是容器实现文件系统隔离的重要技术，但procfs和sysfs等文件系统不支持名字空间，存在信息泄漏的风险。针对MNT名字空间存在的不足，提出并实现了基于MNT名字空间随机化，通过修改Linux的MNT名字空间创建及工作过程，对文件名/目录使用AES加密方式进行处理，使用名字空间内的进程只能看到模糊的文件目录树，实现对目录的屏蔽。实验结果表明，该方法能有效防护扫描软件针对枚举目录和特定敏感文件的攻击，而且性能损耗小，只增加约1.82%的运行开销。

关键词: 容器, MNT名字空间, 文件名加密, 随机化

Abstract: As a virtualization technology of operating system layer, container is widely considered to be the top resources utilization rate virtualization method, MNT name space is an important technology for container file system isolation, but procfs and sysfs file system does not support namespace, there is the risk of information leakage. In view of the insufficiency of MNT name space, this paper puts forward and realizes the randomization of MNT name space. The work process is created by modifying the Linux MNT namespace, AES encryption methods are used for filename/directory processing, using the name space can see the process of fuzzy file directory tree, shielding of the directory. The experimental results show that the method can effective prevent scanning software from attacking on enumeration directory and specific sensitive files, and performance loss is small, only increases about 1.82% of the operating expenses.

Key words: container, mount namespace（MNT namespace）, filename encryption, randomization

魏小锋，郭玉东，林键. 基于MNT随机化容器文件系统安全性加强技术[J]. 计算机工程与应用, 2018, 54(6): 81-85.

WEI Xiaofeng, GUO Yudong, LIN Jian. Hardening technology for container file system based on MNT namespace randomization[J]. Computer Engineering and Applications, 2018, 54(6): 81-85.

[1]	张驰，王宇新，冯振，郭禾. 双层虚拟化云架构下任务调度能耗优化算法[J]. 计算机工程与应用, 2021, 57(3): 103-111.
[2]	胡鹤，赵毅，王宪贺. IB网上CPU-GPU异构超算平台容器性能评估及优化[J]. 计算机工程与应用, 2021, 57(18): 82-85.
[3]	廉哲，殷肖川，席茜，谭韧. 一种基于拟态防御机制的SDN虚拟蜜网[J]. 计算机工程与应用, 2019, 55(1): 109-114.
[4]	李前1，贺兴时1，杨新社1，2. 花授粉算法的改进及在压力容器设计中的应用[J]. 计算机工程与应用, 2017, 53(13): 240-245.
[5]	赵雷^1,2,杨季文¹. 用于企业数据建模的域数据模型的研究[J]. 计算机工程与应用, 2009, 45(5): 157-160.
[6]	周本达¹，陈明华²，任哲³. 一种求解0-1背包问题的新遗传算法[J]. 计算机工程与应用, 2009, 45(30): 45-47.
[7]	蒋兴波，刘晓荣. 求解单容器矩形装箱问题的混合算法[J]. 计算机工程与应用, 2009, 45(27): 196-199.
[8]	陈鑫. K-th Number Query问题的改进算法研究[J]. 计算机工程与应用, 2009, 45(21): 150-152.
[9]	王斌,周亮,谭云桥,桂卫华. 基于类修改和反射的动态方面编织模型[J]. 计算机工程与应用, 2008, 44(7): 82-85.

基于MNT随机化容器文件系统安全性加强技术

Hardening technology for container file system based on MNT namespace randomization

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 9

编辑推荐

Metrics