Inicio Explorar Ayuda
Iniciar sesión
unidan
/
internship-report-vlc
Seguir 1
Destacar 0
Fork 0
Archivos Incidencias 4 Pull Requests 0 Wiki
Árbol: c20a65592e
Ramas Etiquetas
internship-r...
/
chapters
/
sandbox_architecture.tex

sandbox_architecture.tex 7.0 KB
Histórico Raw

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127 
  1. Dans la suite, nous allons considérer que chaque processus représente une zone
    2. 

  2. de privilège, définissant ainsi ses accès et/ou permissions. Je vais alors
    3. 

  3. décrire l'architecture que j'ai conçue pour organiser ces processus et garder
    4. 

  4. une exécution aussi proche que possible que dans l'approche multithread.
    5. 

  5. 

  6. \section{La notion d'étage}
    7. 

  7. 

  8. L'architecture que nous allons construire se place contextuellement dans celle
    9. 

  9. de VLC. Elle se base fortement sur la réalisation d'un pipeline de traitement
    10. 

  10. dynamique, créé au fur et à mesure de la lecture des flux multimédia.
    11. 

  11. 

  12. Les différents éléments de ce pipeline seront créés éventuellement dans la même
    13. 

  13. zone de privilège, éventuellement dans une zone de privilège déjà existante ou
    14. 

  14. même donnera lieu à la création d'une nouvelle zone de privilège. Pour désigner
    15. 

  15. ce concept du côté de l'API publique de la sandbox, on crée la notion d'étage,
    16. 

  16. ou «stages», qui permet de ne pas forcément indiquer comment sera créée la
    17. 

  17. partie du pipeline demandée par le client.
    18. 

  18. 

  19. L'étage représente donc une abstraction utilisée par la partie «VLC» mais
    20. 

  20. réellement manipulée par la partie «sandbox» du processus en question.
    21. 

  21. 

  22. \section{Le modèle broker}
    23. 

  23. 

  24. Dans ce modèle, on considère un processus privilégié qu'on appelle broker, qui
    25. 

  25. va contrôler tous les échanges entre les différents processus qu'on appelle
    26. 

  26. workers, mais également leur cycle de vie et leurs permissions et accès.
    27. 

  27. 

  28. %TODO: schéma broker-worker
    29. 

  29. 

  30. Le broker est donc en charge de faire le routage des différents messages, de
    31. 

  31. transmettre les ressources et faire la vérification d'accès. Il est également
    32. 

  32. utile pour vérifier que les processus workers sont encore en vie et signaler les
    33. 

  33. erreurs.
    34. 

  34. 

  35. % TODO: expliquer IPC
    36. 

  36. Les avantages du modèle broker sont qu'il est généralement le modèle le plus
    37. 

  37. simple à implémenter, et n'a pas besoin de fonctionnalité particulière du point
    38. 

  38. de vue du système, à part pour créer les communications inter-processus (IPC).
    39. 

  39. Nous pouvons même simuler toutes les problématiques d'accès par des jetons
    40. 

  40. d'accès représenté par une certaine IPC, que le broker associera à un accès réel
    41. 

  41. et reproduira les actions demandées par le worker.  Il est également bien plus
    42. 

  42. simple à comprendre, à développer, à isoler et à suivre étant donné que tous les
    43. 

  43. échanges passent par le broker avant d'être transmis au bon processus. Ce modèle
    44. 

  44. constitue ainsi un cadre privilégié pour développer la sandbox et l'amener sur
    45. 

  45. tous les systèmes, à condition de garder en tête les contraintes des autres
    46. 

  46. modèles.
    47. 

  47. 

  48. Le processus broker sera initialisé dans le processus principal et sera donc
    49. 

  49. père de tous les autres processus de la sandbox. Cela permettra d'utiliser des
    50. 

  50. techniques comme \texttt{ptrace} sous Linux ou de pouvoir créer des objets
    51. 

  51. destinés aux processus fils et de leur associer des droits d'accès sous Windows
    52. 

  52. sans avoir à recourir à des droits de superutilisateur.
    53. 

  53. 

  54. \section{Le modèle orchestrateur}
    55. 

  55. 

  56. Dans ce modèle, on considère un processus privilégié qu'on appelle
    57. 

  57. orchestrateur. Celui-ci n'est plus au centre des communications inter-processus
    58. 

  58. mais permet d'initialiser les connexions entre deux workers qui vont ensuite
    59. 

  59. discuter directement. On doit donc s'attendre à de meilleures performances étant
    60. 

  60. donné qu'on diminue les changements de contexte et appels systèmes. On garde cet
    61. 

  61. «orchestrateur» pour initialiser chaque nouvel étage mais les modules peuvent
    62. 

  62. fonctionner indépendamment après, du moment que tous les éléments qui
    63. 

  63. sont liés à l'étage ont été créés.
    64. 

  64. 

  65. Ce modèle nécessite la possibilité d'initialiser une IPC entre deux workers qui
    66. 

  66. doivent communiquer, mais potentiellement aussi mettre en place une autre IPC
    67. 

  67. plus efficace pour les transferts de données du pipeline, commme des mémoire
    68. 

  68. partagées. Il faut également que dans ce modèle, les workers ne puissent pas
    69. 

  69. récupérer les droits des autres workers.
    70. 

  70. 

  71. C'est grâce à ce modèle qu'on peut mettre en valeur la puissance d'expression et
    72. 

  72. de contrôle des jetons d'accès, car aucun contrôle de l'orchestrateur n'est
    73. 

  73. nécessaire pour appliquer une réduction des privilèges et définir précisément
    74. 

  74. les accès disponibles dans chaque partie du pipeline par conception plutôt que
    75. 

  75. par des règles et contrôles d'accès.
    76. 

  76. 

  77. %TODO: schéma orchestrateur-worker
    78. 

  78. 

  79. \section{Les processus worker}
    80. 

  80. 

  81. %TODO: décrire rôle du processus worker
    82. 

  82. Dans les deux modèles précédents, on a utilisé des processus workers qui vont
    83. 

  83. avoir le même rôle, mais éventuellement des implémentations différentes.
    84. 

  84. 

  85. Chaque worker est équipé d'un thread jouant le rôle de boucle événementielle et
    86. 

  86. récupérant les messages soit de tous les autres modules connectés, soit depuis
    87. 

  87. le broker uniquement selon le modèle utilisé. La boucle événementielle sera
    88. 

  88. décrite plus tard.
    89. 

  89. 

  90. Les workers peuvent démarrer de plusieurs façons. Soit un nouveau processus est
    91. 

  91. créé en étant configuré comme un worker, avec des IPC correctes déjà attribuées.
    92. 

  92. Soit le processus est créé depuis un fork et le thread worker peut démarrer tout
    93. 

  93. de suite en ayant connaissance de son IPC vers l'orchestrateur ou le broker. La
    94. 

  94. seconde option peut notamment apparaître lorsqu'un processus Zygote est utilisé.
    95. 

  95. 

  96. \section{La notion de processus Zygote}
    97. 

  97. 

  98. Afin d'optimiser le démarrage de nouveaux processus, beaucoup de systèmes
    99. 

  99. utilisent un processus spécial, appelé «Zygote». Ce processus est responsable de
    100. 

  100. créer les nouveaux processus et permet un démarrage plus rapide en
    101. 

  101. préchargeant toutes les bibliothèques et préparant toutes les initialisations
    102. 

  102. au préalable.
    103. 

  103. 

  104. % TODO expliquer et détailler ASLR et android
    105. 

  105. Les nouveaux processus sont alors créés à partir d'un appel système
    106. 

  106. \inltype{fork} qui est moins coûteux que la création complète d'un processus
    107. 

  107. depuis rien. Mais n'est pas officiellement disponible sous Windows,
    108. 

  108. officieusement disponible sur les versions Windows 10 via les détails internes
    109. 

  109. liés à l'implémentation des pico-processus, et ne permet pas de pouvoir
    110. 

  110. efficacement faire de l'ASLR entre les différents processus de l'application. Ce
    111. 

  111. dernier point existe notamment sur Android, même si des mitigations existent.
    112. 

  112. 

  113. Le processus Zygote permet également d'efficacement cloisonner les descripteurs
    114. 

  114. de fichier à hériter. Mais cela peut être préférée à une méthode plus
    115. 

  115. systématique de libération de tous les descripteurs associés au processus si
    116. 

  116. l'on ne souhaite pas utiliser ce processus pour des raisons de performances
    117. 

  117. également.
    118. 

  118. 

  119. Néanmoins, l'autre partie très intéressante du Zygote concerne le débogage de la
    120. 

  120. sandbox. Sous Linux, \texttt{gdb} n'est capable de s'accrocher qu'à un seul
    121. 

  121. processus à la fois. Il faut alors choisir avec \texttt{set follow-fork-mode} si
    122. 

  122. l'on veut déboguer le processus parent ou bien le processus enfant lors d'un
    123. 

  123. appel à \inltype{fork}. Dans l'architecture que j'ai construite, nous réalisons
    124. 

  124. les opérations de façon synchrone, même entre deux processus, ce qui permettra
    125. 

  125. d'attacher des débogueurs au processus Zygote et basculer directement sur le
    126. 

  126. processus enfant à chaque création de nouveau processus.
    127. 

  127.