## 概要
Linux は、コンテナ仮想化の基盤となるオープンソース OS カーネルである。Linux コンテナは namespace と cgroup によりプロセス・ファイルシステム・ネットワーク・ユーザ空間を分離するが、**ホスト OS カーネルを共有**するため、Linux カーネル自体の脆弱性が全コンテナとホストに影響する攻撃面となる。(Source: [[@2023__APSys__Reducing Attack Surface with Container Transplantation for Lightweight Sandboxing]] §1, §2)
## 本論文での位置づけ
APSys ’23 の Container Transplantation 論文は、Linux カーネル固有の脆弱性(CPU 処理、メモリ処理、ファイル処理)を分類し、これらを悪用した攻撃が FreeBSD 上で実行できないことを実証した。Linux コンテナを FreeBSD カーネルへ移植することで、Linux カーネル実装に依存する脆弱性を自然的に無力化する。(Source: [[@2023__APSys__Reducing Attack Surface with Container Transplantation for Lightweight Sandboxing]] §2, §5.1)
## 関連
- ソース: [[@2023__APSys__Reducing Attack Surface with Container Transplantation for Lightweight Sandboxing]]
- エンティティ: [[Docker]] / [[FreeBSD]] / [[Linuxulator]]
- 概念: [[Container Transplantation]] / [[コンテナ仮想化]] / [[Capability-based Security]]