Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Redox OS でのネームスペース管理と chroot の実現
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
isan
March 20, 2026
Programming
710
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Redox OS でのネームスペース管理と chroot の実現
isan
March 20, 2026
Other Decks in Programming
See All in Programming
LLM本来の能力を解き放つサンドボックス技術とAI民主化への適用
yukukotani
3
4.1k
Javaの型とAI時代に型が大事な理由 / java types and type in AI era
kishida
2
140
フロントエンドとバックエンドで「1文字」を揃えよう
youkidearitai
PRO
0
700
dRuby over BLE
makicamel
2
340
並列実装の現場、2ヶ月間実務でAIを使い倒したAIもPCも私も限界が近い
ming_ayami
0
130
[2026年度第1回ORセミナー] 計画最適化ベンチャーと競技プログラミング人材
terryu16
0
270
IBM Bobを活用したレガシーアプリの最新化
oniak3ibm
PRO
1
200
AIだと陥りがちなJakarta EE最新技術への移行時の落とし穴と解決策
tnagao7
0
110
The NotImplementedError Problem in Ruby
koic
1
810
「エンジニアインターン、どうやって取った?」準備のリアルを語るLT会 Progate BAR
akiomatic
0
130
DynamoDBには集計系のクエリがないけどなんとかしたい
musan
1
140
Make SRE Operations Easier with Azure SRE Agent
kkamegawa
0
6.3k
Featured
See All Featured
Believing is Seeing
oripsolob
1
150
The Curious Case for Waylosing
cassininazir
1
390
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
123
22k
Technical Leadership for Architectural Decision Making
baasie
3
410
WENDY [Excerpt]
tessaabrams
11
38k
16th Malabo Montpellier Forum Presentation
akademiya2063
PRO
0
150
Mobile First: as difficult as doing things right
swwweet
225
10k
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
inesmontani
PRO
0
410
Ethics towards AI in product and experience design
skipperchong
2
310
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.4k
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
uxyall
0
320
The Limits of Empathy - UXLibs8
cassininazir
1
360
Transcript
Redox OS での ネームスペース管理と chroot の実現 Kernel/VM 探検隊 @ つくば
No.3 Ibuki OMATSU, 2026/03/20
Redox OS でのネームスペース管理と chroot の実現 自己紹介 Ibuki OMATSU @Isan_info 産業技術高等専門学校
Redox OS での主なプロジェクト: UNIX ドメインソケットの実装, 一括ファイルディスクリプタ送信 発表: FOSDEM 2026 “Capability Based Security in Redox OS” Ibuki OMATSU, 2026/03/20 2 / 10
Redox OS でのネームスペース管理と chroot の実現 Redox OS ™︎ とは •
マイクロカーネル • Rust 製 • UNIX ライク デスクトップやネットワークスタッ クを提供 Redox OS 上で Redox OS の開 発・コミットも可能 Ibuki OMATSU, 2026/03/20 3 / 10
Redox OS でのネームスペース管理と chroot の実現 Redox のアーキテクチャ • カーネルは 3
万行以下 ‣ 依存パッケージを含め 10 万行以下 • サービスやドライバがユーザ空間で動作 • ファイル操作は “Schemes” が処理 ‣ サービスやドライバが提供 ‣ RedoxFS: file ‣ プロセスマネージャ: proc • “Schemes” の可視性はネームスペースが 管理 Ibuki OMATSU, 2026/03/20 4 / 10
Redox OS でのネームスペース管理と chroot の実現 relibc: Rust 製標準 C ライブラリ
• 複数の OS をサポート ‣ Linux: relibc -> 生のシステムコール ‣ Redox: relibc -> redox-rt • redox-rt ( Redox ランタイムサービス) ‣ POSIX API から Redox 固有の操作への変換層 – fork/exec ‣ Redox 内部用 FD の管理 – プロセス/スレッド、CWD FD Ibuki OMATSU, 2026/03/20 5 / 10
Redox OS でのネームスペース管理と chroot の実現 ネームスペース管理移行前のファイルアクセス 1. アプリケーションが open("/home/user/ some_file")
を呼ぶ 2. 3. 4. 5. Ibuki OMATSU, 2026/03/20 6 / 10
Redox OS でのネームスペース管理と chroot の実現 ネームスペース管理移行前のファイルアクセス 1. アプリケーションが open("/home/user/ some_file")
を呼ぶ 2. redox-rt がパスを /scheme/file/home/ user/some_file に変換し open する 3. 4. 5. Ibuki OMATSU, 2026/03/20 6 / 10
Redox OS でのネームスペース管理と chroot の実現 ネームスペース管理移行前のファイルアクセス 1. アプリケーションが open("/home/user/ some_file")
を呼ぶ 2. redox-rt がパスを /scheme/file/home/ user/some_file に変換し open する 3. カーネルがネームスペースに file scheme が存在するか確認 4. 5. Ibuki OMATSU, 2026/03/20 6 / 10
Redox OS でのネームスペース管理と chroot の実現 ネームスペース管理移行前のファイルアクセス 1. アプリケーションが open("/home/user/ some_file")
を呼ぶ 2. redox-rt がパスを /scheme/file/home/ user/some_file に変換し open する 3. カーネルがネームスペースに file scheme が存在するか確認 4. 存在すれば、カーネルがリクエストを file scheme に送信 5. Ibuki OMATSU, 2026/03/20 6 / 10
Redox OS でのネームスペース管理と chroot の実現 ネームスペース管理移行前のファイルアクセス 1. アプリケーションが open("/home/user/ some_file")
を呼ぶ 2. redox-rt がパスを /scheme/file/home/ user/some_file に変換し open する 3. カーネルがネームスペースに file scheme が存在するか確認 4. 存在すれば、カーネルがリクエストを file scheme に送信 5. file scheme がリクエストを処理 Ibuki OMATSU, 2026/03/20 6 / 10
Redox OS でのネームスペース管理と chroot の実現 移行の鍵: openat(dir_fd, "path/to/file") • openat
は dir_fd からの相対パスでファイルを開く • 通常はただの便利な関数 • アプリケーションが openat のみを利用し、dir_fd に制限がかかっていれば、 dir_fd がサンドボックスとして機能 (例: O_RESOLVE_BENEATH) Ibuki OMATSU, 2026/03/20 7 / 10
Redox OS でのネームスペース管理と chroot の実現 移行の鍵: openat(dir_fd, "path/to/file") • openat
は dir_fd からの相対パスでファイルを開く • 通常はただの便利な関数 • アプリケーションが openat のみを利用し、dir_fd に制限がかかっていれば、 dir_fd がサンドボックスとして機能 (例: O_RESOLVE_BENEATH) -> ネームスペース管理に利用できる Ibuki OMATSU, 2026/03/20 7 / 10
Redox OS でのネームスペース管理と chroot の実現 ユーザ空間ネームスペースマネージャ 1. アプリケーションが open("/home/user/ some_file")
を呼ぶ 2. redox-rt がパスを /scheme/file/home/ user/some_file に変換し openat(namespace_fd, path) を呼ぶ 3. ネームスペースマネージャがリクエスト を仲介する • アプリケーションは namespace_fd を介し てのみ絶対パスアクセスが可能 Ibuki OMATSU, 2026/03/20 8 / 10
Redox OS でのネームスペース管理と chroot の実現 Redox OS での chroot の実現
• chroot: 絶対パスが解決されるルートディレクトリの変更 • Linux: プロセスに対して 1 つのファイルシステムルート • Redox: 複数のルート - それぞれの scheme が別々のルートを持つ ‣ ネームスペースマネージャは scheme 名と “scheme ルート”のマップを持っている ‣ 実は “scheme ルート” はスキームの仮想ルートでもよい • • Ibuki OMATSU, 2026/03/20 9 / 10
Redox OS でのネームスペース管理と chroot の実現 Redox OS での chroot の実現
• chroot: 絶対パスが解決されるルートディレクトリの変更 • Linux: プロセスに対して 1 つのファイルシステムルート • Redox: 複数のルート - それぞれの scheme が別々のルートを持つ ‣ ネームスペースマネージャは scheme 名と “scheme ルート”のマップを持っている ‣ 実は “scheme ルート” はスキームの仮想ルートでもよい • RedoxFS の chroot ‣ 自身のネームスペースに file scheme ルートとして /scheme/file/jail のようなディ レクトリを登録する ‣ /scheme/file/.. へのアクセスは自動的に /scheme/file/jail/.. へと制限される • Ibuki OMATSU, 2026/03/20 9 / 10
Redox OS でのネームスペース管理と chroot の実現 Redox OS での chroot の実現
• chroot: 絶対パスが解決されるルートディレクトリの変更 • Linux: プロセスに対して 1 つのファイルシステムルート • Redox: 複数のルート - それぞれの scheme が別々のルートを持つ ‣ ネームスペースマネージャは scheme 名と “scheme ルート”のマップを持っている ‣ 実は “scheme ルート” はスキームの仮想ルートでもよい • RedoxFS の chroot ‣ 自身のネームスペースに file scheme ルートとして /scheme/file/jail のようなディ レクトリを登録する ‣ /scheme/file/.. へのアクセスは自動的に /scheme/file/jail/.. へと制限される • ネットワークの chroot(分離) にも利用できる? Ibuki OMATSU, 2026/03/20 9 / 10
Redox OS でのネームスペース管理と chroot の実現 まとめ • openat を利用してネームスペース管理をユーザ空間へ移行した •
スキームがカーネルで匿名で作成され、自らネームスペースへ登録するように • カーネルがリクエストを振り分けるだけで良くなり、パスの解析が不必要に • ネームスペースを利用しスキームの chroot やネットワーク分離も実現可能に 関連リポジトリ: https://gitlab.redox-os.org/redox-os/relibc, https://gitlab.redox-os.org/redox-os/base 発表: “Capability Based Security in Redox,” https://fosdem.org/2026/schedule/event/KSK9RB-capability-based-redox-os/ 関連記事: “Capability-based Security for Redox: Namespace and CWD as capabilities,” https://www.redox-os.org/news/ nlnet-cap-nsmgr-cwd/ Ibuki OMATSU, 2026/03/20 10 / 10
yukukotani
kishida
youkidearitai
makicamel
ming_ayami
terryu16
oniak3ibm
tnagao7
koic
akiomatic
musan
kkamegawa
oripsolob
cassininazir
panda_program
baasie
tessaabrams
akademiya2063
swwweet
inesmontani
skipperchong
irinanazarova
uxyall
