當(dāng)前位置：首頁(yè) > 公眾號(hào)精選 > Linux閱碼場(chǎng)

宋寶華：為了不忘卻的紀(jì)念，評(píng)Linux 5.13內(nèi)核（上集）

時(shí)間：2021-09-23 15:42:09

關(guān)鍵字：內(nèi)核

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]5.14-rc6了，看起來(lái)5.14也快發(fā)布了。而我5.13的總結(jié)還沒(méi)有寫出，我早覺得有寫一點(diǎn)東西的必要了，這雖然于搬磚的碼農(nóng)毫不相干，但在追求上進(jìn)的工程師那里，卻大抵只能如此而已。為了不忘卻的紀(jì)念，我們列出5.13內(nèi)核的10個(gè)激動(dòng)人心的新特性。上集先談4個(gè)：AppleM1的初始M...

5.14-rc6了，看起來(lái)5.14也快發(fā)布了。而我5.13的總結(jié)還沒(méi)有寫出，我早覺得有寫一點(diǎn)東西的必要了，這雖然于搬磚的碼農(nóng)毫不相干，但在追求上進(jìn)的工程師那里，卻大抵只能如此而已。為了不忘卻的紀(jì)念，我們列出5.13內(nèi)核的10個(gè)激動(dòng)人心的新特性。上集先談4個(gè)：

Apple M1的初始
Misc cgroup
Landlock安全模塊
系統(tǒng)調(diào)用的堆棧隨機(jī)化

Apple M1的初始支持

5.13最爆炸性的新聞無(wú)非是初始的Apple M1支持，但是然并卵，實(shí)用性幾乎為0。因?yàn)椋呀?jīng)合入的patch非常類似于SoC bringup的初級(jí)階段：

帶earlycon支持的UART (samsung-style) 串口驅(qū)動(dòng)
Apple中斷控制器，支持中斷、中斷親和(affinity )和IPI (跨CPU中斷)
SMP (通過(guò)標(biāo)準(zhǔn)spin-table來(lái)支持）
基于simplefb的framebuffer驅(qū)動(dòng)
Mac Mini的設(shè)備樹

這樣一個(gè)東西，是沒(méi)法用的，發(fā)燒友玩玩可以，但是我們感激并欣賞Hector Martin “marcan”領(lǐng)導(dǎo)的Asahi Linux項(xiàng)目開了一個(gè)這樣的好頭。但是，在Apple M1上面跑Ubuntu啥的，近期、中期和長(zhǎng)期的選擇還是用Parallels虛擬化技術(shù)比較好。

Misc cgroup

眾所周知，cgroup具備一個(gè)強(qiáng)大的控制CPU、內(nèi)存、I/O等資源在不同的任務(wù)群間進(jìn)行分配的能力。比如，你通過(guò)下面的命令，限制A這個(gè)群的CFS調(diào)度類進(jìn)程，最多只能耗費(fèi)20%的CPU：

這個(gè)世界上的絕大多數(shù)資源都是可以進(jìn)行抽象的，比如屬于cpuacct、cpu、memory、blkio、net_cls什么的，但是，總有一些不同于常人的人，他們既不是男人，也不是女人，而是“妖如果有了仁慈的心”的人。Linux內(nèi)核的驅(qū)動(dòng)子系統(tǒng)多達(dá)100多個(gè)，但是還是有極個(gè)別驅(qū)動(dòng)不屬于這100多類中的任何一類，于是在drivers下面有個(gè)misc：

現(xiàn)在內(nèi)核碰到了類似的問(wèn)題，它的資源要進(jìn)行配額控制，但是不屬于通用的類型，而是：

Secure?Encrypted Virtualization (SEV) ASIDs
SEV - Encrypted State (SEV-ES)?ASIDs

這些有限的?ASIDs用于在AMD平臺(tái)上，進(jìn)行虛擬機(jī)內(nèi)存加密，不能歸于現(xiàn)有cgroup的任何一類。那么，咱們加個(gè)misc類的cgroup吧，于是Misc?control-group controller在5.13內(nèi)核誕生了。這再次證明了，不要重新造輪子，但是你可以在現(xiàn)有的輪子里面放一個(gè)“雜交”輪子。Misc cgroup允許進(jìn)行一些特殊資源的控制，透過(guò)3個(gè)接口完成。

misc.capacity描述資源的能力（只讀），比如：

$ cat misc.capacityres_a 50res_b 10

透過(guò)misc.current描述當(dāng)前資源的占用（只讀），比如：

$ cat misc.currentres_a 3res_b 0

透過(guò)misc.max設(shè)置這個(gè)cgroup最多只能使用多少資源（可讀可寫），比如：

# echo res_a 1 > misc.max同志們，有了這個(gè)misc cgroup的支持，以后咱們的阿貓阿狗資源限制，也可以往里面塞了。它相當(dāng)于開了一道門。

Landlock安全模塊

曾經(jīng)有一個(gè)真誠(chéng)的patch擺在我面前，但是我沒(méi)有珍惜，發(fā)了V1被人懟了后就放棄了，等到失去的時(shí)候才后悔莫及，塵世間最痛苦的事莫過(guò)于此，如果上天可以給我一個(gè)機(jī)會(huì)再來(lái)一次的話，我會(huì)對(duì)那個(gè)patch說(shuō)我要繼續(xù)迭代發(fā)！如果非要在這個(gè)迭代的次數(shù)上加上一個(gè)期限，我希望是一百遍。5.13內(nèi)核，最勵(lì)志的事情無(wú)疑是，"Landlock" Lands In Linux 5.13 ！在迭代了超過(guò)5年之后，安全組件landlock終于合入了Linux內(nèi)核，這份始于2016年的愛情，終于有了一個(gè)美好的結(jié)局。為此，Linux內(nèi)核doc的維護(hù)者，LDD3的作者之一Jonathan Corbet發(fā)文指出：Kernel development is not for people who lack persistence; changes can take a number of revisions and a lot of time to make it into a mainline release。文章鏈接：

https://lwn.net/Articles/859908/

所以，沒(méi)有耐力、不能持之以恒,想一夜暴富的人，真地不適合做kernel開發(fā)。Landlock LSM主要給非特權(quán)進(jìn)程提供安全沙盒的能力，比如你可以對(duì)一個(gè)普通進(jìn)程，施加自定義的文件系統(tǒng)訪問(wèn)控制策略。

它的操作原理是，先創(chuàng)建一個(gè)規(guī)則集ruleset，比如，如下的ruleset就是涉及到文件的讀、寫、執(zhí)、讀DIR、寫DIR等：

ruleset對(duì)用戶以文件描述符fd的形式存在，再次證明了“一切都是文件”。接下來(lái)，我們可以透過(guò)這個(gè)fd，向這個(gè)ruleset里面添加rule，比如我們添加一個(gè)/usr目錄的“讀”規(guī)則，這樣進(jìn)程就不能寫/usr了：

我們把這個(gè)ruleset施加起來(lái)讓它生效：

想要體驗(yàn)的童鞋可以用這個(gè)例子啟動(dòng)你的進(jìn)程，它設(shè)置好ruleset后，會(huì)去call exec啟動(dòng)命令行參數(shù)指定的程序：

https://github.com/landlock-lsm/linux/blob/landlock-v34/samples/landlock/sandboxer.c

LL_FS_RO環(huán)境變量是可讀文件的列表，LL_FS_RW環(huán)境變量是可讀寫文件的列表，運(yùn)行方法：

LL_FS_RO=”只讀路徑”?\LL_FS_RW=”可寫路徑”?\sandboxer??./a.outa.out是你的想要安全沙盒的程序。

在下已經(jīng)一睹為快，在/home/baohua下面創(chuàng)建2個(gè)目錄1,2，然后創(chuàng)建/home/baohua/1/1和/home/baohua/2/1這2個(gè)文件，限制第一個(gè)目錄只讀：

童鞋們看明白了嗎？我用sandboxer去啟動(dòng)cat，2個(gè)文件都是成功的。但是，去啟動(dòng)echo，/home/baohua/1/1是不允許寫的，但是/home/baohua/2/1是可以寫的。實(shí)際上，/home/baohua/1/1和/home/baohua/2/1并沒(méi)有絲毫的不同。landlock在發(fā)揮作用了！

系統(tǒng)調(diào)用的堆棧隨機(jī)化

這是一項(xiàng)安全增強(qiáng)，它允許對(duì)系統(tǒng)調(diào)用發(fā)生時(shí)，內(nèi)核使用的堆棧添加一個(gè)隨機(jī)偏移。這給基于stack的攻擊增加了難度，因?yàn)?span>stack攻擊通常要求stack有個(gè)固定的layout?，F(xiàn)在每次系統(tǒng)調(diào)用，stack的layout都變化的話，黑客就比較捉摸不定了。比如ARM64主要修改了invoke_syscall()這個(gè)函數(shù)：

這個(gè)東西聽起來(lái)很高大上，但是它的原理可能簡(jiǎn)單地你想哭，show me the code：

它實(shí)際上就是每次系統(tǒng)調(diào)用把offset隨機(jī)化一下，然后通過(guò)__builtin_alloca()從stack里面分配一些stack空間，于是導(dǎo)致stack的位置移動(dòng)。我們可以寫個(gè)非常簡(jiǎn)單的應(yīng)用程序來(lái)驗(yàn)證原理：

然后編譯

gcc 1.c -fno-stack-protector -O0運(yùn)行：

親愛的，你有沒(méi)有發(fā)現(xiàn)，10次函數(shù)調(diào)用的時(shí)候，每次stack臨時(shí)變量的位置都不一樣?。?？

本文未完待續(xù)，您的贊賞將鼓勵(lì)我的原創(chuàng)

本站聲明：本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布，目的在于傳遞更多信息，并不代表本站贊同其觀點(diǎn)，本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請(qǐng)聯(lián)系該專欄作者，如若文章內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系本站刪除。

換一批

阿維塔、賽力斯已入股！華為引望可能成“中國(guó)博世”

9月2日消息，不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司，隨著阿維塔和賽力斯的入局，華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字：阿維塔塞力斯華為

[美通社全球TMT]

Trianz與AWS達(dá)成戰(zhàn)略合作協(xié)議，徹底改變?cè)撇捎煤凸芾矸绞?/a>

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布，該公司與Amazon Web Services （AWS）簽訂了...

關(guān)鍵字： AWS AN BSP 數(shù)字化

[美通社全球TMT]

人工智能驅(qū)動(dòng)工具SODA V將顛覆汽車市場(chǎng)，使汽車開發(fā)時(shí)間和成本降低90%

倫敦2024年8月29日 /美通社/ -- 英國(guó)汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V，這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具，可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時(shí)1.5...

關(guān)鍵字：汽車人工智能智能驅(qū)動(dòng) BSP

[美通社全球TMT]

從容應(yīng)對(duì)未知風(fēng)險(xiǎn)----解密亞馬遜云科技的韌性之道

北京2024年8月28日 /美通社/ -- 越來(lái)越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行，同時(shí)企業(yè)卻面臨越來(lái)越多業(yè)務(wù)中斷的風(fēng)險(xiǎn)，如企業(yè)系統(tǒng)復(fù)雜性的增加，頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性，提升韌性，成...

關(guān)鍵字：亞馬遜解密控制平面 BSP

[通信先鋒]

中國(guó)游戲市場(chǎng)開始復(fù)蘇！騰訊、網(wǎng)易等巨頭縮減在日本投資

8月30日消息，據(jù)媒體報(bào)道，騰訊和網(wǎng)易近期正在縮減他們對(duì)日本游戲市場(chǎng)的投資。

關(guān)鍵字：騰訊編碼器 CPU

[通信先鋒]

獨(dú)立自主！華為董事：致力打造不依賴西方的技術(shù)

8月28日消息，今天上午，2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)開幕式在貴陽(yáng)舉行，華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字：華為 12nm EDA 半導(dǎo)體

[通信先鋒]

華為張平安：數(shù)字世界話語(yǔ)權(quán)最終由生態(tài)繁榮決定！

8月28日消息，在2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)上，華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱，數(shù)字世界的話語(yǔ)權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字：華為 12nm 手機(jī) 衛(wèi)星通信

[美通社全球TMT]

中國(guó)通信服務(wù)公布2024年中期業(yè)績(jī)

要點(diǎn)：有效應(yīng)對(duì)環(huán)境變化，經(jīng)營(yíng)業(yè)績(jī)穩(wěn)中有升落實(shí)提質(zhì)增效舉措，毛利潤(rùn)率延續(xù)升勢(shì) 戰(zhàn)略布局成效顯著，戰(zhàn)新業(yè)務(wù)引領(lǐng)增長(zhǎng) 以科技創(chuàng)新為引領(lǐng)，提升企業(yè)核心競(jìng)爭(zhēng)力堅(jiān)持高質(zhì)量發(fā)展策略，塑強(qiáng)核心競(jìng)爭(zhēng)優(yōu)勢(shì)...

關(guān)鍵字：通信 BSP 電信運(yùn)營(yíng)商數(shù)字經(jīng)濟(jì)

[美通社全球TMT]

NVI技術(shù)創(chuàng)新聯(lián)盟成立！自主生態(tài)將帶動(dòng)產(chǎn)業(yè)鏈高速發(fā)展

北京2024年8月27日 /美通社/ -- 8月21日，由中央廣播電視總臺(tái)與中國(guó)電影電視技術(shù)學(xué)會(huì)聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會(huì)上宣布正式成立。活動(dòng)現(xiàn)場(chǎng) NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字： VI 傳輸協(xié)議音頻 BSP

[美通社全球TMT]

軟通動(dòng)力與長(zhǎng)三角投資達(dá)成戰(zhàn)略合作共謀數(shù)字生態(tài)新發(fā)展

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長(zhǎng)三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會(huì)上，軟通動(dòng)力信息技術(shù)（集團(tuán)）股份有限公司（以下簡(jiǎn)稱"軟通動(dòng)力"）與長(zhǎng)三角投資（上海）有限...

關(guān)鍵字： BSP 信息技術(shù)