论文研究 基于MNT随机化容器文件系统安全性加强技术.pdf

容器作为一种操作系统层的虚拟化技术，被广泛认为是资源使用率最高的虚拟化方法，而MNT名字空间是容器实现文件系统隔离的重要技术，但procfs和sysfs等文件系统不支持名字空间，存在信息泄漏的风险。针对MNT名字空间存在的不足，提出并实现了基于MNT名字空间随机化，通过修改Linux的MNT名字空间创建及工作过程，对文件名/目录使用AES加密方式进行处理，使用名字空间内的进程只能看到模糊的文件目录树，实现对目录的屏蔽。实验结果表明，该方法能有效防护扫描软件针对枚举目录和特定敏感文件的攻击，而且性能损耗小，只增加约1.82%的运行开销。