2. یک Sandbox Policy ایجاد کنید

هنگامی که یک مجری دارید، احتمالاً می خواهید یک سیاست Sandbox برای Sandboxee تعریف کنید. در غیر این صورت، Sandboxee فقط توسط خط‌مشی Syscall پیش‌فرض محافظت می‌شود.

با سیاست Sandbox، هدف محدود کردن syscals و آرگومان‌هایی است که Sandboxee می‌تواند ایجاد کند، و همچنین فایل‌هایی که می‌تواند به آن دسترسی داشته باشد. شما باید درک دقیقی از syscals های مورد نیاز کدی که قصد دارید sandbox را وارد کنید داشته باشید. یکی از راه های مشاهده syscalls، اجرای کد با خط فرمان خط ابزار لینوکس است.

هنگامی که لیستی از syscalls را دارید، می توانید از PolicyBuilder برای تعریف خط مشی استفاده کنید. PolicyBuilder با بسیاری از توابع راحتی و کمکی ارائه می شود که امکان انجام بسیاری از عملیات های رایج را فراهم می کند. لیست زیر تنها گزیده ای کوچک از توابع موجود است:

• Allowlist هر syscall برای راه اندازی فرآیند:
  • AllowStaticStartup();
  • AllowDynamicStartup();
• Allowlist هر سیستم باز /خواندن /نوشتن*:
  • AllowOpen();
  • AllowRead();
  • AllowWrite();
• Allowlist هر گونه خروجی/دسترسی/وضعیت سیستم مرتبط:
  • AllowExit();
  • AllowStat();
  • AllowAccess();
• هر گونه پیام‌های مرتبط با خواب/زمان را فهرست کنید:
  • AllowTime();
  • AllowSleep();

این توابع راحتی هر گونه syscall مرتبط را لیست می کنند. این مزیت را دارد که می‌توان از یک خط‌مشی روی معماری‌های مختلف استفاده کرد، جایی که syscals خاصی در دسترس نیست (مثلا ARM64 هیچ syscall OPEN ندارد)، اما با خطر امنیتی جزئی فعال کردن sycsall‌های بیشتر از آنچه لازم است. برای مثال، AllowOpen() Sandboxee را قادر می‌سازد تا هر سیستمی باز مرتبط را فراخوانی کند. اگر می خواهید فقط یک syscall خاص را در لیست allow قرار دهید، می توانید از AllowSyscall(); برای اجازه دادن به چندین syscalls در یک زمان می توانید از AllowSyscalls() استفاده کنید.

تا کنون این خط مشی فقط شناسه syscall را بررسی می کند. اگر نیاز به تقویت بیشتر این خط مشی دارید و می خواهید سیاستی را تعریف کنید که در آن فقط یک syscall با آرگومان های خاص مجاز باشد، باید از AddPolicyOnSyscall() یا AddPolicyOnSyscalls() استفاده کنید. این توابع نه تنها شناسه syscall را به عنوان آرگومان می گیرند، بلکه یک فیلتر خام seccomp-bpf را نیز با استفاده از ماکروهای کمکی bpf از هسته لینوکس می گیرند. برای اطلاعات بیشتر در مورد BPF به اسناد هسته مراجعه کنید. اگر متوجه شدید که کد BPF تکراری می نویسید که فکر می کنید باید دارای قابلیت استفاده باشد، در صورت تمایل یک درخواست ویژگی را ثبت کنید.

جدا از توابع مربوط به syscall، PolicyBuilder همچنین تعدادی توابع مرتبط با فایل سیستم مانند AddFile() یا AddDirectory() را برای متصل کردن یک فایل/دایرکتوری به sandbox ارائه می کند. کمک کننده AddTmpfs() می تواند برای افزودن یک ذخیره سازی موقت فایل در جعبه شنی استفاده شود.

یک تابع بسیار مفید AddLibrariesForBinary() است که کتابخانه ها و پیوند دهنده مورد نیاز یک باینری را اضافه می کند.

متأسفانه ارائه syscalls به لیست مجاز هنوز کمی کار دستی است. یک خط مشی با syscalls که نیازهای باینری خود را می دانید ایجاد کنید و آن را با حجم کاری مشترک اجرا کنید. اگر تخلفی ایجاد شد، syscall را در لیست allow قرار دهید و این فرآیند را تکرار کنید. اگر با تخلفی مواجه شدید که فکر می‌کنید ممکن است در لیست مجوزها خطرناک باشد و برنامه به‌خوبی خطاها را مدیریت می‌کند، می‌توانید به جای آن با BlockSyscallWithErrno() آن را به خطا برگردانید.

#include "sandboxed_api/sandbox2/policy.h"
#include "sandboxed_api/sandbox2/policybuilder.h"
#include "sandboxed_api/sandbox2/util/bpf_helper.h"

std::unique_ptr<sandbox2::Policy> CreatePolicy() {
  return sandbox2::PolicyBuilder()
    .AllowSyscall(__NR_read)  // See also AllowRead()
    .AllowTime()              // Allow time, gettimeofday and clock_gettime
    .AddPolicyOnSyscall(__NR_write, {
        ARG(0),        // fd is the first argument of write (argument #0)
        JEQ(1, ALLOW), // allow write only on fd 1
        KILL,          // kill if not fd 1
    })
    .AddPolicyOnSyscall(__NR_mprotect, {
        ARG_32(2), // prot is a 32-bit wide argument, so it's OK to use *_32
                   // macro here
        JNE32(PROT_READ | PROT_WRITE, KILL), // prot must be the RW, otherwise
                                             // kill the process
        ARG(1), // len is a 64-bit argument
        JNE(0x1000, KILL),  // Allow single page syscalls only, otherwise kill
                            // the process
        ALLOW,              // Allow for the syscall to proceed, if prot and
                            // size match
    })
    // Allow the openat() syscall but always return "not found".
    .BlockSyscallWithErrno(__NR_openat, ENOENT)
    .BuildOrDie();
}

2. یک Sandbox Policy ایجاد کنید

هنگامی که یک مجری دارید، احتمالاً می خواهید یک سیاست Sandbox برای Sandboxee تعریف کنید. در غیر این صورت، Sandboxee فقط توسط خط‌مشی Syscall پیش‌فرض محافظت می‌شود.

با سیاست Sandbox، هدف محدود کردن syscals و آرگومان‌هایی است که Sandboxee می‌تواند ایجاد کند، و همچنین فایل‌هایی که می‌تواند به آن دسترسی داشته باشد. شما باید درک دقیقی از syscals های مورد نیاز کدی که قصد دارید sandbox را وارد کنید داشته باشید. یکی از راه های مشاهده syscalls، اجرای کد با خط فرمان خط ابزار لینوکس است.

هنگامی که لیستی از syscalls را دارید، می توانید از PolicyBuilder برای تعریف خط مشی استفاده کنید. PolicyBuilder با بسیاری از توابع راحتی و کمکی ارائه می شود که امکان انجام بسیاری از عملیات های رایج را فراهم می کند. لیست زیر تنها گزیده ای کوچک از توابع موجود است:

• Allowlist هر syscall برای راه اندازی فرآیند:
  • AllowStaticStartup();
  • AllowDynamicStartup();
• Allowlist هر سیستم باز /خواندن /نوشتن*:
  • AllowOpen();
  • AllowRead();
  • AllowWrite();
• Allowlist هر گونه خروجی/دسترسی/وضعیت سیستم مرتبط:
  • AllowExit();
  • AllowStat();
  • AllowAccess();
• هر گونه پیام‌های مرتبط با خواب/زمان را فهرست کنید:
  • AllowTime();
  • AllowSleep();

این توابع راحتی هر گونه syscall مرتبط را لیست می کنند. این مزیت را دارد که می‌توان از یک خط‌مشی روی معماری‌های مختلف استفاده کرد، جایی که syscals خاصی در دسترس نیست (مثلا ARM64 هیچ syscall OPEN ندارد)، اما با خطر امنیتی جزئی فعال کردن sycsall‌های بیشتر از آنچه لازم است. برای مثال، AllowOpen() Sandboxee را قادر می‌سازد تا هر سیستمی باز مرتبط را فراخوانی کند. اگر می خواهید فقط یک syscall خاص را در لیست allow قرار دهید، می توانید از AllowSyscall(); برای اجازه دادن به چندین syscalls در یک زمان می توانید از AllowSyscalls() استفاده کنید.

تا کنون این خط مشی فقط شناسه syscall را بررسی می کند. اگر نیاز به تقویت بیشتر این خط مشی دارید و می خواهید سیاستی را تعریف کنید که در آن فقط یک syscall با آرگومان های خاص مجاز باشد، باید از AddPolicyOnSyscall() یا AddPolicyOnSyscalls() استفاده کنید. این توابع نه تنها شناسه syscall را به عنوان آرگومان می گیرند، بلکه یک فیلتر خام seccomp-bpf را نیز با استفاده از ماکروهای کمکی bpf از هسته لینوکس می گیرند. برای اطلاعات بیشتر در مورد BPF به اسناد هسته مراجعه کنید. اگر متوجه شدید که کد BPF تکراری می نویسید که فکر می کنید باید دارای قابلیت استفاده باشد، در صورت تمایل یک درخواست ویژگی را ثبت کنید.

جدا از توابع مربوط به syscall، PolicyBuilder همچنین تعدادی توابع مرتبط با فایل سیستم مانند AddFile() یا AddDirectory() را برای متصل کردن یک فایل/دایرکتوری به sandbox ارائه می کند. کمک کننده AddTmpfs() می تواند برای افزودن یک ذخیره سازی موقت فایل در جعبه شنی استفاده شود.

یک تابع بسیار مفید AddLibrariesForBinary() است که کتابخانه ها و پیوند دهنده مورد نیاز یک باینری را اضافه می کند.

متأسفانه ارائه syscalls به لیست مجاز هنوز کمی کار دستی است. یک خط مشی با syscalls که نیازهای باینری خود را می دانید ایجاد کنید و آن را با حجم کاری مشترک اجرا کنید. اگر تخلفی ایجاد شد، syscall را در لیست allow قرار دهید و این فرآیند را تکرار کنید. اگر با تخلفی مواجه شدید که فکر می‌کنید ممکن است در لیست مجوزها خطرناک باشد و برنامه به‌خوبی خطاها را مدیریت می‌کند، می‌توانید به جای آن با BlockSyscallWithErrno() آن را به خطا برگردانید.

#include "sandboxed_api/sandbox2/policy.h"
#include "sandboxed_api/sandbox2/policybuilder.h"
#include "sandboxed_api/sandbox2/util/bpf_helper.h"

std::unique_ptr<sandbox2::Policy> CreatePolicy() {
  return sandbox2::PolicyBuilder()
    .AllowSyscall(__NR_read)  // See also AllowRead()
    .AllowTime()              // Allow time, gettimeofday and clock_gettime
    .AddPolicyOnSyscall(__NR_write, {
        ARG(0),        // fd is the first argument of write (argument #0)
        JEQ(1, ALLOW), // allow write only on fd 1
        KILL,          // kill if not fd 1
    })
    .AddPolicyOnSyscall(__NR_mprotect, {
        ARG_32(2), // prot is a 32-bit wide argument, so it's OK to use *_32
                   // macro here
        JNE32(PROT_READ | PROT_WRITE, KILL), // prot must be the RW, otherwise
                                             // kill the process
        ARG(1), // len is a 64-bit argument
        JNE(0x1000, KILL),  // Allow single page syscalls only, otherwise kill
                            // the process
        ALLOW,              // Allow for the syscall to proceed, if prot and
                            // size match
    })
    // Allow the openat() syscall but always return "not found".
    .BlockSyscallWithErrno(__NR_openat, ENOENT)
    .BuildOrDie();
}