基于操作系統容器虛擬化技術的JBS模型的研究

吳革 李健 賴英旭

北京工業大學計算機學院 北京 100124

0 引言

隨著互聯網的發展，軟件網絡化、云計算等技術越來越普及。越來越多的私有軟件被放在公共計算平臺上運行，軟件之間的行為變得十分復雜，系統安全面臨前所未有的挑戰。

1 JBS模型實現細節

1.1 JBS虛擬機監視器

JBS模型是基于容器虛擬化技術(Container-based Operating System Virtualization)，而不是完全虛擬化技術，不需要轉換敏感指令，提供接近本地操作系統的效率。Linux版本 JBS模型實現主要是基于 Linux內核 2.6.22.19和Linux-VServer2.2.0.7。

JBS模型資源劃分：CPU調度資源劃分是通過復寫標記桶(Token Bucket, TB)數據結構，提供硬件級別的CPU調度控制。在操作系統中，每更新一次時間票據(timer tick)，都會減少進程所在的虛擬容器的TB的容量。I/O的資源共享通過使用分級標記桶(Hierarchical Token Bucket, HTB)，每個HTB都有對應預定概率(reserved rate)和共享屬性(share)。每個數據包發送出去都有自己的內核上下文Id屬性，JBS模型通過計算包上的預定概率和共享屬性，可以確定每個虛擬容器發送數據的次序和發送的數量，從而提供有效共享服務和預定服務。存儲限制功能，分為磁盤存儲限制和內存存儲限制。對于內存存儲限制，應用的技術如下：①最大可用的常駐內存(maximum resident set size,RSS)；②可用內存頁(number of anonymous memory have, ANON)；③已經被應用的內存頁，通過使用mlock方法和mlockall方法進行標記。對于磁盤存儲限制，通過使用虛擬容器標識(XID)對文件系統進行標識，讓運行于不同虛擬容器中的進程可以訪問同一個宿主系統分區，而不能訪問不同容器中的文件。

JBS模型安全隔離：JBS模型中的進程隔離主要是對宿主操作系統中的進程標識虛擬容器標識(XID)，使每個進程的PID不再是全局名字空間，而是虛擬容器名字空間。JBS模型中的網絡隔離主要是根據虛擬容器動態創建出的 IP地址進行隔離的。chroot命令在Linux系統中，被用于改變系統根目錄位置，這會導致虛擬容器的根目錄的變動。在JBS系統中，引用了虛擬容器根目錄屏蔽技術(Chroot Barrier)，使用一個特殊的文件屬性(special file attribute)，阻止退出虛擬容器根目錄和修改它。現在的Linux兼容性系統中，并沒有完全實現 POSIX兼容性標準。為了提供更安全的進程保護，JBS增強了Linux兼容性，通過使用虛擬容器上下文的掩碼(mask)技術，來限制進程執行權限。

1.2 虛擬容器的應用

近來的大量研究主要貢獻是通過檢測虛擬環境中應用程序行為，來保護虛擬環境。相反，JBS模型更關注于虛擬容器間的交互，或者虛擬容器與遠程主機之間交互。每初始化一個虛擬容器，就需要創建所對應的虛擬容器的根目錄(root file system)，每個虛擬容器都會被分配在某個統一分支文件名稱空間下。

基于對已有的 UnionFS文件系統的研究，改進了現有Linux-VServer虛擬容器創建方法，應用統一名稱空間的文件系統。例如，修改后的JBS模型內核的Debian操作系統中安裝通用應用程序/bin/Apache和/bin/Firefox，這兩個可執行文件和配置文件直接保存在宿主操作系統中。通過使用JBS遠程虛擬容器管理工具，創建兩個虛擬容器/JBS/vs1和/JBS/vs2，分別用來承載/bin/Apache和/bin/Firefox。Apache和Firefox應用程序在運行時都會產生臨時文件(例如歷史記錄)，并需要將臨時文件或者程序結束產生的持久數據，保存在文件系統中。因此應用程序在虛擬容器環境下，會把數據分別保存到自己新創建出的文件夾下/JBS/vs1/.apache，/JBS/vs2/.Mozilla，/JBS/vs2/download中。Firefox臨時文(例如密碼，瀏覽歷史)都保存在/JBS/vs2/.Mozilla文件夾中，下載的文件保存到/JBS/vs2/download文件夾中。Apache的logging日志保存在/JBS/vs1/.apache文件夾下。

從圖1可以看出，Firefox和Apache應用程序都是保存在宿主主機中。當Firefox運行時，它會根據配置策略運行在虛擬容器 VS2中，容器中的虛擬操作系統的根節點是/JBS/VS2，/bin/Firefox是只讀應用程序，不可以被修改，而根目錄/JBS/VS2是可讀可寫的，因此Firefox應用程序會動態的創建兩個文件夾JBS/VS2/.mozilla和/JBS/VS2/download），用來保存臨時數據和持久數據。但是在虛擬容器 VS2中的Firefox并不能訪問虛擬容器VS1中的數據，也就是不能訪問/JBS/VS2文件夾。

圖1 名字空間

如果運行Firefox時，因為程序中的bug，導致下載了木馬程序(Trojan horse)kill，將被保存到/JBS/VS2/bin文件夾下。當Apache運行時，運行在/JBS/VS1虛擬容器中，并不會觸發/JBS/VS2/bin目錄下的kill木馬程序。當應用程序運行完成之后，JBS模型會應用文件對比技術，發現/JBS/VS2/bin的文件變動，從而檢測出木馬入侵。

JBS模型不僅僅提供入侵檢測，木馬查殺，系統安全等功能，而且為操作系統更新程序也提高很大便利。通過使用Linux系統的自動更新程序(例如：Debian操作系統的apt-get和Red hat的yum)，更新宿主操作系統的應用程序。當虛擬容器運行時，會調用宿主操作系統最新版本的應用程序程序。

2 JBS系統測試

本文為了測試JBS模型的性能，選擇4個比較常用應用軟件進行測試：HTTP服務器Apache，桌面文本編輯器gedit，瀏覽器Firefox，還有版本管理工具SVN。通過測量系統調用的數量，來分析JBS模型對性能的改進。

2.1 系統調用對比測試

本文選擇使用Kprobes作為內核檢測工具，用于檢測和記錄系統調用。對比宿主操作系統，虛擬容器中的應用程序，所做操作相同。測試包括四個環節：①使用 gedit編輯一個文件，讀取500個字節，寫入600個字節，將一文章拷貝粘貼到另一篇文章中，總共操作花費了1分鐘。②使用Firefox去訪問北京工業大學網站(http://www.bjut.edu.cn)，點擊所有導航，最后回到首頁。③使用 Apache服務，提供靜態網站服務，將 bjut.edu.cn網站抓取下來，放在本地，使用 wget請求頁面，5秒鐘一次，一共1分鐘；④最后測試SVN版本管理工具，使用SVN客戶端應用程序，上傳總共20個文件，總共10Mbit。每個應用程序都是單獨運行在虛擬容器中或者主機中的，所有其他非必要服務和程序，在測試的時候都是關閉的。測試結果如圖2所示，從圖2中可以明顯看出虛擬容器需要記錄的系統調用的數量有了明顯的下降。這是因為虛擬容器可以看成一個特殊的應用程序，它包括所有屬于它的進程和線程。而實際操作系統，它在同一個時間會處理多個系統事件，遠遠超過了虛擬容器需要處理的事件。

2.2 啟動對比測試

測試應用程序啟動時需要記錄的系統調用和必須記錄的系統調用。當應用程序啟動時，會加載必須的他所需的靜態庫和其他資源文件。為了提高測試的真實性，在運行這些測試程序之前，修改它們的默認配置：Firefox默認首頁為空白頁，gedit直接打開，Apache和SVN的配置最小化啟動。測試結果如圖3所示。

從圖3可以看出，Apache和SVN必須記錄的系統事件很少，接近于零。通過使用只讀應用程序運行方式，減少系統調用的記錄數量。

圖3與圖2是不能相互比較的，圖2是多個軟件交互之后得出的測量結果。如果打開Firefox 10次的話，JBS模型需要記錄系統調用是 5000次，而本地操作系統需要記錄的次數就是44000次，比例超過1比8。

3 結束語

本文提出一個通用的軟件交互檢測模型 JBS，基于Linux-VServer]進行擴展，增加對統一名字空間文件系統的支持，實現了操作系統容器虛擬監測環境COSVME。解決虛擬容器中的軟件交互檢測和系統資源隔離的問題。

通過應用JBS模型，讓系統調用記錄降低到原來的1/8。對比通用系統調用記錄系統，證明本文提出的通用JBS模型，明顯減少了記錄應用程序的系統調用的數量，并提高了監測性能。因為基于Linux操作系統，JBS模型也具有了支持不同硬件平臺的特性。

JBS模型作為一種通用性軟件交互檢測模型，可以被應用于多種硬件平臺，檢測不同類型的應用程序。它可以被應用于軟件審查，入侵檢測，系統分析和系統恢復等系統安全方面研究。

[1] Linux-VServer: http://linux-vserver.org/Paper.

[2] Soltesz,S., P?tzl, H.,Fiuczynski,M. E.,Bavier,A.,and Peterson,L.Container-based operating system virtualization: a scalable,high-performance alternative to hypervisors[C]. In Proceedings of the ACM Sigops/Eurosys European Conference on Computer Systems (EuroSys '07),Lisbon, Portugal,March 2007.