Fuchsia操作系统简介.pdf

Fuchsia简介 许中兴 重德智能 xzx@ Fuchsia的来历 • 多年的Android, ChromeOS开发经验一方面让Google在操作系统方面 积累了足够多的人才和组件，另一方面也充分认识到了Linux kernel很 多的局限性 • Fuchsia是一个全新的操作系统的统称。Google挑选了一系列它认为合 适的技术和组件进入这个操作系统，比如：微内核，基于能力的访问控 制，Vulkan图形接口，3D桌面渲染Scenic ，Flutter应用开发框架。目 前支持的编程语言是：C/C++, Go, Rust, Dart • Google2016年中放出了所有的代码，但是没有正式宣布这个项目的目 标，开发社区目前有一个IRC频道进行交流 • 支持的架构是X86-64和ARM 64 ，支持的设备从IoT到服务器 现代通用、开放OS需要面对的方 面 • 上游硬件厂商 • 下游应用开发者 • 设备友商 • 用户 • 黑客 Fuchsia解决现代OS痛点 • 原生进程沙箱，解决应用安全和分发问题（黑客） • Linux: namespace, control group, unionfs = docker • 稳定的驱动接口，硬件厂商可独立维护硬件驱动（硬件） • 系统模块化，分层，设备厂商可以灵活定制专有系统（友商） • 基于Vulkan和物理渲染的纯3D UI ，全局光照（用户） • Flutter应用开发框架（开发者） 关于进程沙箱，Fuchsia重新思考 三个Unix的基础抽象机制 • 全局文件系统 • 用户 • 进程的创建 全局文件系统 • 在Unix里，存在一个全局的根文件系统 • 它是每个进程共享的基础资源 • 文件系统涵盖了非文件资源：/proc, /sys, .. • 网络是例外 • 在Fuchsia里，没有全局根文件系统 • 文件和文件系统成为一个局部概念（局限在每个文件系统进程里），从而在进程内核数据结构里没 有file • 用namespace来定义一个进程能够访问的资源 • 每个name （路径）对应一个资源进程channel 的handle • “/“ - root vfs service handle, “/dev” - dev fs service handle, “/net/dns” - DNS service handle User • 在Unix中，user本来是用作不同的用户登录共享服务器的机制 • user是真正的用户 • 后来主要用作权限控制，弱化的沙箱机制 • 在Fuchsia中，在底层(Zircon, Garnet)没有用户的概念 • 用namespace来控制进程能够访问的资源 • Capability-based access control • 从而在进程里没有uid 进程的创建 • 在Unix中，新的进程由老的进程fork而来 • 新的进程继承父进程的全部资源 • 一种偷懒的设计 • 在Fuchsia中，新进程的创建需要从头开始 • 创建process, thread • 父进程建立初始的namespace到资源channel handle的映射 • 调用process_start显式的告诉内核新的进程可以跑了 • 在Fuchsia内核的process数据结构里，没有file和uid 仿佛是专门针对漏洞利用作出的设 计 • 典型的漏洞利用步骤 • fork()/exec()开反向shell • 继承uid(或者通过获得root uid进行提权)获得泛在授权 • 访问全局文件系统 • 在Fuchsia里，以上机制全都不存在 • 创建进程时显式建立root namespace • 没有user，从而没有ambient authori