MesaLock Linux用戶空間內(nèi)存安全的Linux發(fā)行版

?

MesaLock Linux 是百度安全實驗室開源的一個通用 Linux 發(fā)行版本，其目標是用 Rust、Go 等內(nèi)存安全語言重寫用戶空間應用（user space applications），以在用戶空間中逐步消除高危的內(nèi)存安全漏洞。這將極大的降低整個系統(tǒng)的攻擊面，并且使得剩余的攻擊面可審計、可收斂。

MesaLock Linux 在保留 Linux 硬件兼容性的前提下，實質(zhì)性地提升了 Linux 生態(tài)的安全性。MesaLock Linux 的主要目標應用場景是容器（例如：docker 鏡像），以及高安全性嵌入式環(huán)境，以后隨著逐漸成熟，也可以向服務器或其他場景延伸。

為提供完善的功能，并保證強健的安全性，MesaLock Linux 將遵循 Rust SGX SDK ?項目中提出的混合代碼內(nèi)存安全架構(gòu)三原則：

1. 隔離并模塊化由非內(nèi)存安全代碼編寫的組件，并最小化其代碼量。

2. 由非內(nèi)存安全代碼編寫的組件不應減弱安全模塊的安全性，尤其是公共 API 和公共數(shù)據(jù)結(jié)構(gòu)。

3. 由非內(nèi)存安全代碼編寫的組件需清晰可辨識并且易于更新。

目前 MesaLock Linux 項目主要包括三個方面：

• mesalock-distro：提供了 MesaLock Linux 發(fā)行版的編譯程序，提供了 Live ISO 和 rootfs 兩種發(fā)行方式。Live ISO 可以在虛擬機中啟動或者直接在設備上運行，rootfs 主要為 docker 容器使用。

• packages：這里面包括了 MesaLock Linux 提供的軟件包的編譯腳本，我們提供了使用內(nèi)存安全的編程語言 Go 和 Rust 編寫的一些常用軟件，包括 shell、coreutils、findutils、文本編輯器等等。

• minit, mgetty, giproute2：我們同時提供了用 Rust/Go 編寫了啟動 MesaLock Linux 過程中的核心組件。

除此之外，還提供了相關(guān)的文檔，包括編譯和使用 MesaLock Linux，編寫新的軟件包。

因為 MesaLock Linux 提供了 Docker 容器的運行環(huán)境，如果想要簡單快速的嘗試 MesaLock Linux，你只需運行：

$?docker?run?-p?8000:8000?--rm?-it?mesalocklinux/mesalock-linux

以上命令將進入 MesaLock Linux 的 shell，可以開始使用 MesaLock 中的其他工具。當然，也可以試用我們提供的 demo 程序，由 Rocket（Rust 編寫的 web framework）寫的網(wǎng)絡微服務。demo 存放在 /root/mesalock-demo 目錄下 。因為 docker 將 container 中的 8000 端口轉(zhuǎn)發(fā)到 host 機器的 8000 端口，運行 /root/mesalock-demo/rocket-hello-world/hello_world，即可以在 host 機器上訪問 demo。

MesaLock Linux 項目及其子項目選擇使用 BSD 開源協(xié)議下開源。BSD 開源協(xié)議是一個給于使用者很大自由的協(xié)議，希望有更多的人來使用 MesaLock Linux，保護整個 Linux 系統(tǒng)的安全生態(tài)。同時，安全生態(tài)的可持續(xù)發(fā)展也離不開開源社區(qū)、工業(yè)界、學術(shù)界的共同參與，非常歡迎大家的貢獻和支持。支持 MesaLock Linux 的途徑有很多，例如：

• 嘗試使用 MesaLock Linux，反饋使用感受和改進的建議等

• 參與貢獻 MesaLock Linux 的開發(fā)流程、完善文檔、幫助解答常見問題等

• 參與貢獻 MesaLock Linux 維護的核心工具代碼，比如說 minit、mgetty 等

• 嘗試使用 Go、Rust 這類內(nèi)存安全的編程語言編寫用戶空間應用，非常歡迎新的應用加入 MesaLock Linux 大家庭

• 參與審計 MesaLock Linux 及其子項目和相關(guān)軟件包的代碼安全