百度开源 Linux 发行版 MesaLock Linux

综合自:https://github.com/mesalock-linux/mesalock-distro

百度安全实验室宣布正式开源通用 Linux 发行版本 MesaLock Linux。

Linux 发行版 MesaLock Linux

授权协议:BSD

操作系统:Linux

开发厂商:百度

Github:https://github.com/mesalock-linux

MesaLock Linux 简介

MesaLock Linux 是百度安全实验室开源的一个通用 Linux 发行版本,其目标是用 Rust、Go 等内存安全语言重写用户空间应用(user space applications),以在用户空间中逐步消除高危的内存安全漏洞。这将极大的降低整个系统的攻击面,并且使得剩余的攻击面可审计、可收敛。

MesaLock Linux 在保留 Linux 硬件兼容性的前提下,实质性地提升了 Linux 生态的安全性。MesaLock Linux 的主要目标应用场景是容器(例如:docker 镜像),以及高安全性嵌入式环境,以后随着逐渐成熟,也可以向服务器或其他场景延伸。

MesaLock Linux 模块

目前 MesaLock Linux 项目主要包括三个方面:

mesalock-distro:提供了 MesaLock Linux 发行版的编译程序,提供了 Live ISO 和 rootfs 两种发行方式。Live ISO 可以在虚拟机中启动或者直接在设备上运行,rootfs 主要为 docker 容器使用。

packages:这里面包括了 MesaLock Linux 提供的软件包的编译脚本,我们提供了使用内存安全的编程语言 Go 和 Rust 编写的一些常用软件,包括 shell、coreutils、findutils、文本编辑器等等。

minit, mgetty, giproute2:我们同时提供了用 Rust/Go 编写了启动 MesaLock Linux 过程中的核心组件。

除此之外,还提供了相关的文档,包括编译和使用 MesaLock Linux,编写新的软件包。

MesaLock Linux 遵循原则

为提供完善的功能,并保证强健的安全性,MesaLock Linux 将遵循 Rust SGX SDK 项目中提出的混合代码内存安全架构三原则:

● 隔离并模块化由非内存安全代码编写的组件,并最小化其代码量。

● 由非内存安全代码编写的组件不应减弱安全模块的安全性,尤其是公共 API 和公共数据结构。

● 由非内存安全代码编写的组件需清晰可辨识并且易于更新。

快速开始

你可以使用 Docker 快速体验容器环境中的 MesaLock Linux:

目前,MesaLock Linux 有两个版本:live ISO和rootfs。实时 ISO 镜像可用于创建可启动的实时 USB,或在虚拟机中启动。rootfs(即根文件系统)可以用作容器的最小根镜像。

MesaLock Linux 软件包

MesaLock Linux提供了许多内存安全的软件包。所有的用户空间应用程序都是用Rust和Go编写的。目前已经提供了许多有用的和高质量的工具:

● brotli:用 Rust 编写的压缩工具

● busybox:仅用于测试的 busybox 工具

● exa:替换 Rust 写的 ls

● fd-find:简单,快速和用户友好的替代查找

● filesystem:基础文件系统布局(由 MesaLock Linux 维护)

● gcc-libs:GCC库,只使用 libgcc_s.so

● giproute2:用 Go 编写的 ip 工具(由 MesaLock Linux 维护)

● glibc:GNU C 库(glibc)

● init:init 脚本(由MesaLock Linux维护)

●本文编号392,以后想阅读这篇文章直接输入392即可

●输入m获取文章目录

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20171211B08NTW00?refer=cp_1026

扫码关注云+社区