當前位置：首頁 > 嵌入式 > Linux閱碼場

宋寶華：為了不忘卻的紀念，評Linux?5.13內(nèi)核（上集）

時間：2021-09-03 10:10:57

關(guān)鍵字：內(nèi)核

手機看文章

掃描二維碼
隨時隨地手機看文章

[導讀]5.14-rc6了，看起來5.14也快發(fā)布了。而我5.13的總結(jié)還沒有寫出，我早覺得有寫一點東西的必要了，這雖然于搬磚的碼農(nóng)毫不相干，但在追求上進的工程師那里，卻大抵只能如此而已。為了不忘卻的紀念，我們列出5.13內(nèi)核的10個激動人心的新特性。上集先談4個：AppleM1的初始M...

5.14-rc6了，看起來5.14也快發(fā)布了。而我5.13的總結(jié)還沒有寫出，我早覺得有寫一點東西的必要了，這雖然于搬磚的碼農(nóng)毫不相干，但在追求上進的工程師那里，卻大抵只能如此而已。為了不忘卻的紀念，我們列出5.13內(nèi)核的10個激動人心的新特性。上集先談4個：

Apple M1的初始
Misc cgroup
Landlock安全模塊
系統(tǒng)調(diào)用的堆棧隨機化

Apple M1的初始支持

5.13最爆炸性的新聞無非是初始的Apple M1支持，但是然并卵，實用性幾乎為0。因為，已經(jīng)合入的patch非常類似于SoC bringup的初級階段：

帶earlycon支持的UART (samsung-style) 串口驅(qū)動
Apple中斷控制器，支持中斷、中斷親和(affinity )和IPI (跨CPU中斷)
SMP (通過標準spin-table來支持）
基于simplefb的framebuffer驅(qū)動
Mac Mini的設(shè)備樹

這樣一個東西，是沒法用的，發(fā)燒友玩玩可以，但是我們感激并欣賞Hector Martin “marcan”領(lǐng)導的Asahi Linux項目開了一個這樣的好頭。但是，在Apple M1上面跑Ubuntu啥的，近期、中期和長期的選擇還是用Parallels虛擬化技術(shù)比較好。

Misc cgroup

眾所周知，cgroup具備一個強大的控制CPU、內(nèi)存、I/O等資源在不同的任務(wù)群間進行分配的能力。比如，你通過下面的命令，限制A這個群的CFS調(diào)度類進程，最多只能耗費20%的CPU：

這個世界上的絕大多數(shù)資源都是可以進行抽象的，比如屬于cpuacct、cpu、memory、blkio、net_cls什么的，但是，總有一些不同于常人的人，他們既不是男人，也不是女人，而是“妖如果有了仁慈的心”的人。Linux內(nèi)核的驅(qū)動子系統(tǒng)多達100多個，但是還是有極個別驅(qū)動不屬于這100多類中的任何一類，于是在drivers下面有個misc：

現(xiàn)在內(nèi)核碰到了類似的問題，它的資源要進行配額控制，但是不屬于通用的類型，而是：

Secure?Encrypted Virtualization (SEV) ASIDs
SEV - Encrypted State (SEV-ES)?ASIDs

這些有限的?ASIDs用于在AMD平臺上，進行虛擬機內(nèi)存加密，不能歸于現(xiàn)有cgroup的任何一類。那么，咱們加個misc類的cgroup吧，于是Misc?control-group controller在5.13內(nèi)核誕生了。這再次證明了，不要重新造輪子，但是你可以在現(xiàn)有的輪子里面放一個“雜交”輪子。Misc cgroup允許進行一些特殊資源的控制，透過3個接口完成。

misc.capacity描述資源的能力（只讀），比如：

$ cat misc.capacityres_a 50res_b 10

透過misc.current描述當前資源的占用（只讀），比如：

$ cat misc.currentres_a 3res_b 0

透過misc.max設(shè)置這個cgroup最多只能使用多少資源（可讀可寫），比如：

# echo res_a 1 > misc.max同志們，有了這個misc cgroup的支持，以后咱們的阿貓阿狗資源限制，也可以往里面塞了。它相當于開了一道門。

Landlock安全模塊

曾經(jīng)有一個真誠的patch擺在我面前，但是我沒有珍惜，發(fā)了V1被人懟了后就放棄了，等到失去的時候才后悔莫及，塵世間最痛苦的事莫過于此，如果上天可以給我一個機會再來一次的話，我會對那個patch說我要繼續(xù)迭代發(fā)！如果非要在這個迭代的次數(shù)上加上一個期限，我希望是一百遍。5.13內(nèi)核，最勵志的事情無疑是，"Landlock" Lands In Linux 5.13 ！在迭代了超過5年之后，安全組件landlock終于合入了Linux內(nèi)核，這份始于2016年的愛情，終于有了一個美好的結(jié)局。為此，Linux內(nèi)核doc的維護者，LDD3的作者之一Jonathan Corbet發(fā)文指出：Kernel development is not for people who lack persistence; changes can take a number of revisions and a lot of time to make it into a mainline release。文章鏈接：

https://lwn.net/Articles/859908/

所以，沒有耐力、不能持之以恒,想一夜暴富的人，真地不適合做kernel開發(fā)。Landlock LSM主要給非特權(quán)進程提供安全沙盒的能力，比如你可以對一個普通進程，施加自定義的文件系統(tǒng)訪問控制策略。

它的操作原理是，先創(chuàng)建一個規(guī)則集ruleset，比如，如下的ruleset就是涉及到文件的讀、寫、執(zhí)、讀DIR、寫DIR等：

ruleset對用戶以文件描述符fd的形式存在，再次證明了“一切都是文件”。接下來，我們可以透過這個fd，向這個ruleset里面添加rule，比如我們添加一個/usr目錄的“讀”規(guī)則，這樣進程就不能寫/usr了：

我們把這個ruleset施加起來讓它生效：

想要體驗的童鞋可以用這個例子啟動你的進程，它設(shè)置好ruleset后，會去call exec啟動命令行參數(shù)指定的程序：

https://github.com/landlock-lsm/linux/blob/landlock-v34/samples/landlock/sandboxer.c

LL_FS_RO環(huán)境變量是可讀文件的列表，LL_FS_RW環(huán)境變量是可讀寫文件的列表，運行方法：

LL_FS_RO=”只讀路徑”?\LL_FS_RW=”可寫路徑”?\sandboxer??./a.outa.out是你的想要安全沙盒的程序。

在下已經(jīng)一睹為快，在/home/baohua下面創(chuàng)建2個目錄1,2，然后創(chuàng)建/home/baohua/1/1和/home/baohua/2/1這2個文件，限制第一個目錄只讀：

童鞋們看明白了嗎？我用sandboxer去啟動cat，2個文件都是成功的。但是，去啟動echo，/home/baohua/1/1是不允許寫的，但是/home/baohua/2/1是可以寫的。實際上，/home/baohua/1/1和/home/baohua/2/1并沒有絲毫的不同。landlock在發(fā)揮作用了！

系統(tǒng)調(diào)用的堆棧隨機化

這是一項安全增強，它允許對系統(tǒng)調(diào)用發(fā)生時，內(nèi)核使用的堆棧添加一個隨機偏移。這給基于stack的攻擊增加了難度，因為stack攻擊通常要求stack有個固定的layout?，F(xiàn)在每次系統(tǒng)調(diào)用，stack的layout都變化的話，黑客就比較捉摸不定了。比如ARM64主要修改了invoke_syscall()這個函數(shù)：

這個東西聽起來很高大上，但是它的原理可能簡單地你想哭，show me the code：

它實際上就是每次系統(tǒng)調(diào)用把offset隨機化一下，然后通過__builtin_alloca()從stack里面分配一些stack空間，于是導致stack的位置移動。我們可以寫個非常簡單的應(yīng)用程序來驗證原理：

然后編譯

gcc 1.c -fno-stack-protector -O0運行：

親愛的，你有沒有發(fā)現(xiàn)，10次函數(shù)調(diào)用的時候，每次stack臨時變量的位置都不一樣?。。?/span>

本文未完待續(xù)，您的贊賞將鼓勵我的原創(chuàng)

本站聲明：本文章由作者或相關(guān)機構(gòu)授權(quán)發(fā)布，目的在于傳遞更多信息，并不代表本站贊同其觀點，本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者，如若文章內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系本站刪除（郵箱：macysun@21ic.com ）。

換一批

2025貴州茅臺韶華文化活動書寫年輕化破圈新篇

"悅知己悅韶華 ——燃擎赴競技，承韻敬新生" 貴陽2025年11月22日 /美通社/ -- "悅知己悅韶華——燃擎赴競技，承韻敬新生"2025貴州茅臺韶華文化活動于11月21...

關(guān)鍵字：內(nèi)核燈光觸摸 SUPER

[美通社全球TMT]

從靈感到現(xiàn)實：LEPAS設(shè)計團隊解碼"豹麗美學"的誕生之旅

蕪湖2025年11月20日 /美通社/ -- 在汽車工業(yè)領(lǐng)域，真正打動人心的設(shè)計，從不是冷冰參數(shù)的堆砌，而是感性與理性的深度共鳴。在LEPAS的設(shè)計中心，一支由全球的設(shè)計精英組成的國際化團隊，以獵豹為靈感內(nèi)核，以自然為設(shè)...

關(guān)鍵字：解碼曲面儀表內(nèi)核

[美通社全球TMT]

LEPAS優(yōu)雅科技以全球五星安全標準，守護每一段優(yōu)雅旅程

蕪湖2025年11月7日 /美通社/ -- 當汽車從出行工具拓展到生活半徑，在產(chǎn)業(yè)智能化變革的浪潮下，"安全"已經(jīng)成為消費者優(yōu)雅生活的必選項，更是品牌可持續(xù)發(fā)展的生命線。奇瑞集團旗下全新新能源品牌LE...

關(guān)鍵字：防護奇瑞新能源內(nèi)核

[美通社全球TMT]

三赴進博！西井科技以"智?能"內(nèi)核重構(gòu)全球智慧物流新格局

上海2025年11月5日 /美通社/ -- 第八屆進博會（11.5-10，上海）啟幕之際，場景化新能源自動駕駛?cè)騽?chuàng)領(lǐng)者，西井控股（香港）有限公司W(wǎng)estwell Holdings (Hong Kong) Limited...

關(guān)鍵字：內(nèi)核智慧物流 BSP TRUCK

[美通社全球TMT]

LEPAS驚艷2025奇瑞國際用戶生態(tài)大會，"科技+優(yōu)雅"碰撞定義新生活

蕪湖2025年11月3日 /美通社/ -- 10月17日至21日，2025奇瑞國際用戶生態(tài)大會在安徽蕪湖盛大舉行。奇瑞集團旗下全新新能源品牌LEPAS通過一系列沉浸式、互動性與科技感兼具的活動，在全球主流媒體、經(jīng)銷商代表...

關(guān)鍵字：奇瑞新能源內(nèi)核 LAN

[美通社全球TMT]

博澤創(chuàng)新方案為汽車產(chǎn)業(yè)發(fā)展注入卓越“內(nèi)核”

上海2025年4月21日 /美通社/ -- 當前汽車行業(yè)正經(jīng)歷深刻變革：電動化進程持續(xù)加速，多種技術(shù)路線并行發(fā)展；智能化技術(shù)融合各類場景，加快落地應(yīng)用；消費者個性化需求日益凸顯，舒適性配置成為汽車差異化競爭的關(guān)鍵要素；同...

關(guān)鍵字：內(nèi)核汽車產(chǎn)業(yè) 可持續(xù)發(fā)展智能化技術(shù)

[美通社全球TMT]