# Patrol

**Repository Path**: anolis/patrol

## Basic Information

- **Project Name**: Patrol
- **Description**: 简介：Patrol旨在增强Linux Container的文件系统隔离，结合基于数据流与控制流的访问控制模型，扩展了mount namespace对文件系统资源的虚拟化与隔离能力，可有效阻断容器或宿主机中非法的文件系统访问行为，消除了已知容器隔离逃逸漏洞，显著增强了容器间的隔离能力。
- **Primary Language**: Unknown
- **License**: Apache-2.0
- **Default Branch**: master
- **Homepage**: None
- **GVP Project**: No

## Statistics

- **Stars**: 70
- **Forks**: 25
- **Created**: 2025-05-06
- **Last Updated**: 2025-05-18

## Categories & Tags

**Categories**: containers

**Tags**: None

## README

# Patrol

#### 介绍
简介：Patrol旨在增强Linux Container的文件系统隔离，结合基于数据流与控制流的访问控制模型，扩展了mount namespace对文件系统资源的虚拟化与隔离能力，可有效阻断容器或宿主机中非法的文件系统访问行为，消除了已知容器隔离逃逸漏洞，显著增强了容器间的隔离能力。提供了内核虚拟文件系统的形式化建模，从理论上验证了patrol的有效性。

More Details are shown in our paper:

Lost along the Way: Understanding and Mitigating Path-Misresolution Threats to Container Isolation. In Proceedings of the 2023 ACM SIGSAC Conference on Computer and Communications Security (CCS '23). Association for Computing Machinery, New York, NY, USA, 3063–3077. https://doi.org/10.1145/3576915.3623154