Jaderné noviny - 23. 6. 2016: Virtuálně mapované jaderné zásobníky

6. 7. 2016 | Redakce | Jaderné noviny | 3049×

Stav vydání jádra

Současný vývojový kernel má označení 4.7-rc4, vydán byl 19. června. Linus řekl, že je „celkem malý“ a neobsahuje „nic moc znepokojujícího“. Vývojový cyklus postupuje kupředu s obvyklými druhy změn. „Statistiky vypadají úplně normálně: dvě třetiny tvoří ovladače, zbytek jsou z poloviny aktualizace architektury a z poloviny všechno ostatní (menší aktualizace souborových systémů, nějaká dokumentace a drobné patche)."

Stabilní aktualizace: minulý týden žádné nevyšly.

Citáty týdne

Výkon není něco, co by se dalo přidat potom. Pokud první verze patche není dost výkonná, neměli bychom ji považovat za hotovou.

-Linus Torvalds

Všechna zařízení s Brillo – včetně těch již uvedených na trh – budou používat jádra sestavená z jediného společného stromu, který následuje aktuální LTS upstream. To eliminuje jednu z kombinačních testovacích proměnných (verze jádra), protože bude stejná na všech zařízeních. Vzhledem k tomu, že aktualizace jádra každého zařízení bude třeba tak jako tak testovat, na vyžadovaném testování každého zařízení se nic nemění, naopak získáme funkce, bezpečnostní aktualizace a opravy chyb při mnohem menším vloženém úsilí.

Jaderný tým Brillo bude ve společném jádře Brillo průběžně doplňovat změny LTS jádra z ustreamu a záplaty pro Android; také bude pomáhat s přísunem patchů pro porty konkrétních výrobců. Ti již nebudou muset trávit čas backportováním upstreamu a změn specifických pro Android do několika stromů a verzí jádra pro různé konkrétní produkty.

-Projekt Google Brillo plánuje dělat věci zdánlivě jinak.

Virtuálně mapované jaderné zásobníky

Zásobník v linuxovém jádře je dost možná slabým místem návrhu systému. Je tak malý, že jaderný vývojáři si neustále musejí dávat pozor, co na zásobník ukládají, aby nedošlo k jeho přetečení. Jenže ono k tomu dochází i tak, i když široko daleko není žádný útočník, který by se snažil přetečení zásobníku si vynutit – a jak nedávno demonstroval Jann Horn, útočníci mají důvody o to usilovat. Pokud k přetečení dojde, jádro je tak špatně umístěno, že problém nezaregistruje, natož že by mohlo nějak reagovat. V průběhu historie jádra se zásobník příliš nezměnil, ovšem poslední práce mají potenciál učinit zásobník o poznání robustnějším.

Jak se pracuje se zásobníky ve stávajících jádrech

Každý proces má svůj vlastní zásobník, který používá, běží-li v jádře. V současných jádrech má tento zásobník 8 KB nebo (na 64bitových systémech) 16 KB paměti. Zásobník se nachází v přímo mapované paměti jádra, takže musí být fyzicky souvislý. Tento požadavek může být problematický sám o sobě, protože jak dochází k fragmentaci paměti, může být nalezení dvou nebo čtyř fyzicky souvislých stránek složité. Využití přímo mapované paměti také vylučuje použití ochranných stránek (guard pages) – nepřístupných stránek, které by zachytily přetečení zásobníku – protože přidání ochranné stránky by vyžadovalo zabrání skutečné fyzické stránky paměti.

V důsledku neexistuje přímá indikace v případě, že k přetečení dojde. Místo toho přetékající zásobník prostě přepíše jakoukoli paměť, která se nachází pod alokovaným rozsahem (pod proto, že zásobník na většině architektur roste směrem dolů). Přetečení se dá detekovat umístěním kanárků na zásobník a vývojářské nástroje umožňují sledovat využití zásobníku. Ale pokud je na produkčním systému přetečení vůbec detekováno, bývá to většinou příliš pozdě po dané události a poté, co došlo ke škodám neznámého rozsahu.

Aby toho nebylo málo, velmi důležitá datová struktura – struktura thread_info – je umístěna ve spodní části zásobníku. Takže pokud dojde k přetečení jaderného zásobníku, jako první bude přepsána právě struktura thread_info, která poskytuje přístup téměř ke všemu, co jádro o běžícím procesu ví. Asi netřeba dodávat, že tohle činí přetečení zásobníku pro útočníky o to zajímavějším: je těžké odhadovat, co se bude nacházet v paměti pod zásobníkem, ale vlastnosti struktury thread_info jsou dobře známé.

Snad nikoho nepřekvapí, že jaderní vývojáři velmi tvrdě pracují na tom, aby přetečením zabránili. Podrobně zkoumají (obvykle pomocí automatických proměnných) alokace na zásobníku a rekurze obecně není povolena. Ale překvapení mohou mít mnoho podob, od nedbalé deklarace proměnných po nečekaně hluboko zanořená volání funkcí. K takovým problémům je zvláště náchylný subsystém úložišť, kde se mohou libovolně kupit souborové systémy, technologie úložišť a síťový kód. Tento typ překvapení vedl k rozšíření zásobníku na jádrech architektury x86-64 na 16 KB ve vydání 3.15, jenže zásobníky nelze zvětšovat donekonečna. Protože pro každý proces v systému existuje jeden zásobník, každé zvětšení velikosti se projeví podstatně vícekrát.

Problém s přetékáním zásobníku zřejmě bude ještě nějakou dobu pro vývojáře výzvou, ale jádro by mělo umět reagovat lépe, když už k přetečení dojde. Klíčem k řešení tohoto problému je, jak ukazuje sada patchů pro virtuálně mapované zásobníky Andyho Lutomirského, změna způsobu alokace jaderných zásobníků.

Virtuálně mapované zásobníky

Téměř veškerá paměť, ke které jádro přistupuje přímo, je přístupná skrze adresy v přímo mapovaném rozsahu. Tento rozsah je velkým kusem adresního prostoru, který je mapován do fyzické paměti jednoduše, lineárně, takže v praxi to vypadá, jakoby jádro pracovalo přímo s fyzickými adresami paměti. Na 64bitových systémech se takto mapuje veškerá paměť; naopak 32bitové systémy nedovedou takto mapovat veškerou paměť, která se na současných systémech nachází, takže je třeba to dělat poněkud složitěji.

Linux je ovšem systém s virtuální pamětí, takže jádro používá pro přístup k paměti virtuální adresy i v přímo mapovaných oblastech. Jak už to bývá, jádro rezervuje další rozsah adres pro virtuálně mapovanou paměť; tento rozsah se použije, dojde-li k mapování paměti pomocí vmalloc(), a tak se nazývá „rozsah vmalloc“ (vmalloc range). Alokované oblasti v tomto rozsahu jsou spojovány po stránkách za chodu a nejsou fyzicky souvislé. Tradičně se tato oblast používá k získání relativně velkého kusu paměti, který musí být virtuálně souvislá, ale může být fyzicky rozptýlená.

Neexistuje (téměř! – viz níže) žádný důvod, proč by zásobníky jádra měly být fyzicky souvislé, takže by v zásadě mohly být alokovány jako jednotlivé stránky a mapované do rozsahu vmalloc. Tím by se odstranilo jedno z největších použití (fyzicky souvislých) alokací v jádru, díky čemuž by systém při fragmentované paměti byl robustnější. Také by to umožnilo umístění nepřístupných ochranných stránek kolem alokovaných zásobníků bez zbytečného plýtvání pamětí (protože vše, co je potřeba, je položka v tabulce stránek), což by jádru umožnilo okamžitě detekovat přetečení alokovaného zásobníku. Andyho patch dělá právě toto – alokuje jaderné zásobníky v rozsahu vmalloc. Když už byl u toho, přidal také elegantní zacházení s přetečením: zobrazí se řádná chybová hláška a dojde k zabití příslušného procesu.

Sada patchů sama o sobě je relativně jednoduchá, většina patchů se zabývá nepříjemnými specifiky jednotlivých architektur, což je potřeba, aby patch set správně fungoval. Vypadá to na významné vylepšení jádra, recenze jsou vesměs pozitivní, ačkoliv zůstává několik zásadních, leč nevyřešených problémů.

Nepříjemné detaily

Jedním z nich je výkon. Podle Andyho se alokováním zásobníku v rozsahu vmalloc prodlouží vytvoření procesu pomocí clone() o 1,5 µs. Některé druhy zátěže jsou mimořádně citlivé na režii spojenou s vytvářením procesů a touto změnou by utrpěly, takže se asi není čemu divit, že na to Linus reagoval slovy, že „tento problém je třeba vyřešit dřív, než dojde k začlenění.“ Andy si myslí, že většina režie by se dala vyřešit zrychlením vmalloc() (který nikdy nebyl pořádně optimalizován na výkon). Linus místo toho navrhl udržovat malou cache, složenou z předem alokovaných zásobníků, pro každý procesor. V každém případě dal jasně najevo, že chce, aby se regrese vyřešila ještě před začleněním.

Další možná režie, kterou se dosud nepodařilo přesně změřit, je nárůst počtu výpadků při překladu. Přímo namapovaná oblast využívá mapování obrovských stránek, takže se celé jádro (všechen kód, data a zásobníky) vejde do jediného záznamu v TLB (translation lookaside buffer). Rozsah vmalloc naopak vytvoří nové okno s využitím mapování jednotlivých stránek. Vzhledem k tomu, že reference na jaderné zásobníky jsou běžné, je možnost TLB miss reálná, pokud se k těmto zásobníkům přistupuje skrze rozsah vmalloc.

Mezi další podstatné detaily patří to, že ačkoliv alokace z rozsahu vmalloc obsahují ochranné stránky, k jejich umístění dochází až po alokaci. Při běžné paměti na haldě dochází právě zde k překryvům. Protože však zásobníky rostou směrem dolů, dojde k překryvu paměti už před alokací. V praxi to znamená, že dokud je ochranná stránka umístěna na začátek rozsahu vmalloc, současný kód zajistí, aby se ochranné stránky nacházely mezi každými dvěma alokacemi, takže by starší stránka měla být právě tam. Ale vzhledem k tomu, že ochranné stránky jsou jedním z hlavních cílů této sady patchů, bude zapotřebí nějakých vylepšení, abychom si mohli být jisti, že se budou nacházet vždy na začátku každého zásobníku.

Paměť mapovaná do rozsahu vmalloc má jedno specifické omezení: nedá se jednoduše použít pro I/O s přímým přístupem k paměti (DMA). To proto, že I/O očekává paměť fyzicky souvislou, a proto, že funkce mapování virtuálních adres na fyzické neočekávají adresy v tomto rozsahu. Dokud se žádný jaderný kód nepokouší provádět DMA ze zásobníku, nemělo by jít o problém. DMA ze zásobníku je problematický také z jiných důvodů, ale ukazuje se, že v jádře se nachází kód, který tak přesto činí. Ten bude potřeba před nasazením patche do praxe opravit.

A konečně, jádra s touto sadou patchů budou schopna detekovat přetečení jaderných zásobníků, ale stále zde zůstává problém se strukturou thread_info, která se nachází vespod každého zásobníku. Překryv, který přepíše pouze tuto strukturu a nikoliv zásobník jako celek, nebude detekován. Řešením je strukturu thread_info zcela odstranit z jaderných zásobníků. Současná sada patchů toto zatím neumí, ale Andy slíbil, že se na tento problém podívá, jakmile patche budou přijaty.

Přijetí můžeme očekávat, jakmile se podaří vyřešit současné problémy. Přidání schopnosti detekovat přetékající zásobníky a nakládat s nimi eliminuje zásadní vektor útoku a učiní z Linuxu bezpečnějším a robustnějším systémem. Na takové změny si těžko stěžovat.

Nástroje: Tisk bez diskuse