當前位置：首頁 > 公眾號精選 > Linux閱碼場

宋寶華：為了不忘卻的紀念，評Linux?5.13內(nèi)核（上集）

時間：2021-09-03 10:10:57

關(guān)鍵字：內(nèi)核

手機看文章

掃描二維碼
隨時隨地手機看文章

[導讀]5.14-rc6了，看起來5.14也快發(fā)布了。而我5.13的總結(jié)還沒有寫出，我早覺得有寫一點東西的必要了，這雖然于搬磚的碼農(nóng)毫不相干，但在追求上進的工程師那里，卻大抵只能如此而已。為了不忘卻的紀念，我們列出5.13內(nèi)核的10個激動人心的新特性。上集先談4個：AppleM1的初始M...

5.14-rc6了，看起來5.14也快發(fā)布了。而我5.13的總結(jié)還沒有寫出，我早覺得有寫一點東西的必要了，這雖然于搬磚的碼農(nóng)毫不相干，但在追求上進的工程師那里，卻大抵只能如此而已。為了不忘卻的紀念，我們列出5.13內(nèi)核的10個激動人心的新特性。上集先談4個：

Apple M1的初始
Misc cgroup
Landlock安全模塊
系統(tǒng)調(diào)用的堆棧隨機化

Apple M1的初始支持

5.13最爆炸性的新聞無非是初始的Apple M1支持，但是然并卵，實用性幾乎為0。因為，已經(jīng)合入的patch非常類似于SoC bringup的初級階段：

帶earlycon支持的UART (samsung-style) 串口驅(qū)動
Apple中斷控制器，支持中斷、中斷親和(affinity )和IPI (跨CPU中斷)
SMP (通過標準spin-table來支持）
基于simplefb的framebuffer驅(qū)動
Mac Mini的設(shè)備樹

這樣一個東西，是沒法用的，發(fā)燒友玩玩可以，但是我們感激并欣賞Hector Martin “marcan”領(lǐng)導的Asahi Linux項目開了一個這樣的好頭。但是，在Apple M1上面跑Ubuntu啥的，近期、中期和長期的選擇還是用Parallels虛擬化技術(shù)比較好。

Misc cgroup

眾所周知，cgroup具備一個強大的控制CPU、內(nèi)存、I/O等資源在不同的任務(wù)群間進行分配的能力。比如，你通過下面的命令，限制A這個群的CFS調(diào)度類進程，最多只能耗費20%的CPU：

這個世界上的絕大多數(shù)資源都是可以進行抽象的，比如屬于cpuacct、cpu、memory、blkio、net_cls什么的，但是，總有一些不同于常人的人，他們既不是男人，也不是女人，而是“妖如果有了仁慈的心”的人。Linux內(nèi)核的驅(qū)動子系統(tǒng)多達100多個，但是還是有極個別驅(qū)動不屬于這100多類中的任何一類，于是在drivers下面有個misc：

現(xiàn)在內(nèi)核碰到了類似的問題，它的資源要進行配額控制，但是不屬于通用的類型，而是：

Secure?Encrypted Virtualization (SEV) ASIDs
SEV - Encrypted State (SEV-ES)?ASIDs

這些有限的?ASIDs用于在AMD平臺上，進行虛擬機內(nèi)存加密，不能歸于現(xiàn)有cgroup的任何一類。那么，咱們加個misc類的cgroup吧，于是Misc?control-group controller在5.13內(nèi)核誕生了。這再次證明了，不要重新造輪子，但是你可以在現(xiàn)有的輪子里面放一個“雜交”輪子。Misc cgroup允許進行一些特殊資源的控制，透過3個接口完成。

misc.capacity描述資源的能力（只讀），比如：

$ cat misc.capacityres_a 50res_b 10

透過misc.current描述當前資源的占用（只讀），比如：

$ cat misc.currentres_a 3res_b 0

透過misc.max設(shè)置這個cgroup最多只能使用多少資源（可讀可寫），比如：

# echo res_a 1 > misc.max同志們，有了這個misc cgroup的支持，以后咱們的阿貓阿狗資源限制，也可以往里面塞了。它相當于開了一道門。

Landlock安全模塊

曾經(jīng)有一個真誠的patch擺在我面前，但是我沒有珍惜，發(fā)了V1被人懟了后就放棄了，等到失去的時候才后悔莫及，塵世間最痛苦的事莫過于此，如果上天可以給我一個機會再來一次的話，我會對那個patch說我要繼續(xù)迭代發(fā)！如果非要在這個迭代的次數(shù)上加上一個期限，我希望是一百遍。5.13內(nèi)核，最勵志的事情無疑是，"Landlock" Lands In Linux 5.13 ！在迭代了超過5年之后，安全組件landlock終于合入了Linux內(nèi)核，這份始于2016年的愛情，終于有了一個美好的結(jié)局。為此，Linux內(nèi)核doc的維護者，LDD3的作者之一Jonathan Corbet發(fā)文指出：Kernel development is not for people who lack persistence; changes can take a number of revisions and a lot of time to make it into a mainline release。文章鏈接：

https://lwn.net/Articles/859908/

所以，沒有耐力、不能持之以恒,想一夜暴富的人，真地不適合做kernel開發(fā)。Landlock LSM主要給非特權(quán)進程提供安全沙盒的能力，比如你可以對一個普通進程，施加自定義的文件系統(tǒng)訪問控制策略。

它的操作原理是，先創(chuàng)建一個規(guī)則集ruleset，比如，如下的ruleset就是涉及到文件的讀、寫、執(zhí)、讀DIR、寫DIR等：

ruleset對用戶以文件描述符fd的形式存在，再次證明了“一切都是文件”。接下來，我們可以透過這個fd，向這個ruleset里面添加rule，比如我們添加一個/usr目錄的“讀”規(guī)則，這樣進程就不能寫/usr了：

我們把這個ruleset施加起來讓它生效：

想要體驗的童鞋可以用這個例子啟動你的進程，它設(shè)置好ruleset后，會去call exec啟動命令行參數(shù)指定的程序：

https://github.com/landlock-lsm/linux/blob/landlock-v34/samples/landlock/sandboxer.c

LL_FS_RO環(huán)境變量是可讀文件的列表，LL_FS_RW環(huán)境變量是可讀寫文件的列表，運行方法：

LL_FS_RO=”只讀路徑”?\LL_FS_RW=”可寫路徑”?\sandboxer??./a.outa.out是你的想要安全沙盒的程序。

在下已經(jīng)一睹為快，在/home/baohua下面創(chuàng)建2個目錄1,2，然后創(chuàng)建/home/baohua/1/1和/home/baohua/2/1這2個文件，限制第一個目錄只讀：

童鞋們看明白了嗎？我用sandboxer去啟動cat，2個文件都是成功的。但是，去啟動echo，/home/baohua/1/1是不允許寫的，但是/home/baohua/2/1是可以寫的。實際上，/home/baohua/1/1和/home/baohua/2/1并沒有絲毫的不同。landlock在發(fā)揮作用了！

系統(tǒng)調(diào)用的堆棧隨機化

這是一項安全增強，它允許對系統(tǒng)調(diào)用發(fā)生時，內(nèi)核使用的堆棧添加一個隨機偏移。這給基于stack的攻擊增加了難度，因為stack攻擊通常要求stack有個固定的layout?，F(xiàn)在每次系統(tǒng)調(diào)用，stack的layout都變化的話，黑客就比較捉摸不定了。比如ARM64主要修改了invoke_syscall()這個函數(shù)：

這個東西聽起來很高大上，但是它的原理可能簡單地你想哭，show me the code：

它實際上就是每次系統(tǒng)調(diào)用把offset隨機化一下，然后通過__builtin_alloca()從stack里面分配一些stack空間，于是導致stack的位置移動。我們可以寫個非常簡單的應(yīng)用程序來驗證原理：

然后編譯

gcc 1.c -fno-stack-protector -O0運行：

親愛的，你有沒有發(fā)現(xiàn)，10次函數(shù)調(diào)用的時候，每次stack臨時變量的位置都不一樣?。?？

本文未完待續(xù)，您的贊賞將鼓勵我的原創(chuàng)

本站聲明：本文章由作者或相關(guān)機構(gòu)授權(quán)發(fā)布，目的在于傳遞更多信息，并不代表本站贊同其觀點，本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者，如若文章內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系本站刪除。

換一批

阿維塔、賽力斯已入股！華為引望可能成“中國博世”

9月2日消息，不造車的華為或?qū)⒋呱龈蟮莫毥谦F公司，隨著阿維塔和賽力斯的入局，華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字：阿維塔塞力斯華為

[美通社全球TMT]

Trianz與AWS達成戰(zhàn)略合作協(xié)議，徹底改變云采用和管理方式

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布，該公司與Amazon Web Services （AWS）簽訂了...

關(guān)鍵字： AWS AN BSP 數(shù)字化

[美通社全球TMT]

人工智能驅(qū)動工具SODA V將顛覆汽車市場，使汽車開發(fā)時間和成本降低90%

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V，這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具，可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字：汽車人工智能智能驅(qū)動 BSP

[美通社全球TMT]

從容應(yīng)對未知風險----解密亞馬遜云科技的韌性之道

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運行，同時企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風險，如企業(yè)系統(tǒng)復(fù)雜性的增加，頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性，提升韌性，成...

關(guān)鍵字：亞馬遜解密控制平面 BSP

[通信先鋒]

中國游戲市場開始復(fù)蘇！騰訊、網(wǎng)易等巨頭縮減在日本投資

8月30日消息，據(jù)媒體報道，騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字：騰訊編碼器 CPU

[通信先鋒]

獨立自主！華為董事：致力打造不依賴西方的技術(shù)

8月28日消息，今天上午，2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行，華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字：華為 12nm EDA 半導體

[通信先鋒]

華為張平安：數(shù)字世界話語權(quán)最終由生態(tài)繁榮決定！

8月28日消息，在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上，華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱，數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字：華為 12nm 手機衛(wèi)星通信

[美通社全球TMT]

中國通信服務(wù)公布2024年中期業(yè)績

要點：有效應(yīng)對環(huán)境變化，經(jīng)營業(yè)績穩(wěn)中有升落實提質(zhì)增效舉措，毛利潤率延續(xù)升勢戰(zhàn)略布局成效顯著，戰(zhàn)新業(yè)務(wù)引領(lǐng)增長以科技創(chuàng)新為引領(lǐng)，提升企業(yè)核心競爭力堅持高質(zhì)量發(fā)展策略，塑強核心競爭優(yōu)勢...

關(guān)鍵字：通信 BSP 電信運營商數(shù)字經(jīng)濟

[美通社全球TMT]

NVI技術(shù)創(chuàng)新聯(lián)盟成立！自主生態(tài)將帶動產(chǎn)業(yè)鏈高速發(fā)展

北京2024年8月27日 /美通社/ -- 8月21日，由中央廣播電視總臺與中國電影電視技術(shù)學會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字： VI 傳輸協(xié)議音頻 BSP

[美通社全球TMT]