Как изолировать небезопасный код в dotnet core приложении?

Question

[Liudar]

Добрый день. Разрабатываю приложение, которое использует встроенные lua скрипты. Т.к. с условием специфики задачи нужен именно dotnet core, выбор пал на NeoLua. Но я не могу ограничить права выполняемого кода скрипта. Как пример - доступ на чтение из файлов. Если абстрагироваться от Lua, то задача сводиться к простому вопросу: Как изолировать небезопасный код в dotnet core приложении?

В .NET Framework был AppDomain, но

.NET Core does not support AppDomains or sandboxing:

Free of problematic tech. .NET Core doesn’t include certain technologies we decided to discontinue because we found them to be problematic, for instance AppDomain and sandboxing. If the scenario still makes sense for .NET Core, our plan is to have replacements. For example, AssemblyLoadContext replaces AppDomains for loading and isolating assemblies.

И как теперь ограничить вызов какого-нибудь метода в правах?

как пример:

public static void Main(string[] args)
        {
            //Sandbox for deny read files acess 
            {
                var text = string.Empty;
                using (var reader = new StreamReader("test.txt"))
                {
                    text = reader.ReadToEnd();
                }
            }
        }

Что можете посоветовать? Как решать? В какую сторону копать?

Answer 1

[rPman]

Список реализаций тут lua-users.org/wiki/LuaImplementations
Например это https://github.com/chkn/AluminumLua

Вы можете вообще не добавлять никаких библиотек к вашему контексту и добавлять свои методы в вашем коде которые будут вызываться на функции в lua.

p.s. библиотеки опенсорс, всегда можно поправить код в том месте где файл открывается.

Comments

[Liudar]

Вариант, но больно уж не хочется так усложнять..

P.S. Аллюминька не умеет Core( Но NeoLua умеет, ее допилить можно

Answer 2

[Даша Циклаури]

попробуй использовать docker, хотя это тоже решето, но возможно лучше кастомизируется чем ничего
https://security.stackexchange.com/questions/29378...

Comments

[sim3x]

И как ето поможет изоляции луа кода от основного кода?

Не говоря уже о том, что докер - не имеет отношения к безопасности и полноценной изоляции

[Даша Циклаури]

sim3x, с кодом никак, особенность кора, а вот со знанием selinux, apparmor можно уже что-то придумать, хоть и геморрой
докер то по умолчанию lsm не использует насколько помню

[sim3x]

Даша Циклаури,
selinux конечно хорошо, но никак не связано с докером, никак не поможет со встраиванием - только отдельный апп, с отдельными правами

[Liudar]

Основная идея в том, что посредством Lua описываются типы объектов, методы и делегаты. Т.е. код должен быть в той же сборке. Поднимать приложение в дырявом докере и общаться с ним по сокету - то еще удовольствие, к тому же решение остается кривым. Т.е. в случае залетной птицы мы не сольем всю базу и не похерим систему, но при перезапуске получим тот же сценарий. Как итог - вечно стоящий сервис. Не выход((

[shai_hulud]

Я так понял оно написано на .NET и вкрячено поверх DLR.
Мейби бахнуть анализа для Lua кода на предмет запрещенного. Весь рефлекшон/поинтеры отказать на корню, далее смотреть за вызовами, по желанию хучить на свои и там проверять права итд.

[Liudar]

shai_hulud, Хм, ловить хуки. А как поймать попытку метода обратиться к файлу или к сети Интернет в C#? Я явно что-то упустил в развитии...

[shai_hulud]

Мне видится 2 пути.
1) Смотреть во что компилируется Lua код и анлизировать/менять его. Тут все зависит от выбранного вами решения для Lua, и почти везде это посильная задача.
2) Найти и воспрользоваться решением для хуков под целевую ОС. Для виндоус это https://easyhook.github.io/ и там можно хукнуть fopen через которую проходят все запросы на открытие файлов.

[Александр Таратин]

shai_hulud, На win если хукать, то а функции из https://docs.microsoft.com/en-us/windows/desktop/a... но не fopen. Но имхо решение с хуками слишком замороченное и небезопасное. Лучше в отдельном процессе запускать, куда через какой-нибудь rpc прокидывать только самый необходимый функционал.

[Liudar]

Спасибо, решение выглядит интересным, буду пробовать