2023-11-01 16:17:51 +08:00
# x2t 沙箱
为了避免 x2t 解析文档时,被通过内存溢出而执行未信任代码,对 x2t 做一层沙箱,限制 syscall 调用
## Quick start
### Setup
```bash
curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh
```
### Build
```
cargo build
```
### Run
```
cargo run
```
2023-11-01 21:53:20 +08:00
### Generate syscalls with strace
```
strace -f --output x2t-syscalls.txt /path/to/x2t some.xml
```
### Generate syscalls with tracing mode
cargo 开启 tracing-mode 后,宏找不到环境变量和文件不会失败,可以直接生成一个。
```
2023-11-02 00:07:38 +08:00
RUST_LOG=trace cargo run --features tracing-mode -- -l x2t-syscalls.txt /path/to/x2t some.xml
cat x2t-syscalls.txt | sort | uniq | sponge x2t-syscalls.txt
cargo build
2023-11-01 21:53:20 +08:00
```
2023-11-01 21:57:53 +08:00
更新 syscall 列表后重新构建二进制会生成新的 sandbox。
2023-11-01 16:17:51 +08:00
## 项目结构
- [项目 ](/ )
2023-11-01 21:58:39 +08:00
- [x2t-syscalls.txt ](x2t-syscalls.txt ): x2t 用到的 syscall
- [build.rs ](build.rs ): 解决少数构建平台无法找到 libseccomp 的问题
- [x2t-sandbox-rulegen ](x2t-sandbox-rulegen/ ): 通过 macro 直接从 syscall 列表生成代码, ,
2023-11-01 16:17:51 +08:00
- Cargo.toml/Cargo.lock/rust-toolchain.toml: 已经被配置为默认构建静态链接的二进制
- optional: flake.nix/flake.lock: nix 搭建的、完全统一的统一开发环境,配置为默认构建静态链接的二进制
- .envrc: 如果不适用nix, ,
- .gitignore
2023-11-01 16:28:21 +08:00
## TODOs
- 看看怎么样对特定的 syscall 限制参数,尤其是
- execve
- prctl
2023-11-02 00:21:52 +08:00
## 比较相近的项目
- [cloudflare/sandbox ](https://github.com/cloudflare/sandbox ): cloudflare/sandbox 在运行时配置规则,我们是在构建时配置规则
- [Cloudflare | Sandboxing in Linux with zero lines of code ](https://blog.cloudflare.com/sandboxing-in-linux-with-zero-lines-of-code/ ): cloudflare 写了一篇博客讲解 seccomp 工作机制和 sandbox 使用
- [google/nsjail ](https://github.com/google/nsjail ): 隔离更全面,使用了命名空间和 cgroup 来限制访问,是一个类似于容器但是目标主要是解决安全问题的解决方案
- [Figma | Server-side sandboxing: Containers and seccomp ](https://www.figma.com/blog/server-side-sandboxing-containers-and-seccomp ) figma 的 use case
