日本黄色一级经典视频|伊人久久精品视频|亚洲黄色色周成人视频九九九|av免费网址黄色小短片|黄色Av无码亚洲成年人|亚洲1区2区3区无码|真人黄片免费观看|无码一级小说欧美日免费三级|日韩中文字幕91在线看|精品久久久无码中文字幕边打电话

當(dāng)前位置:首頁 > 嵌入式 > Linux閱碼場

宋寶華:為了不忘卻的紀(jì)念,評Linux 5.13內(nèi)核(上集)

時間:2021-09-23 15:42:09
關(guān)鍵字: 內(nèi)核   
手機(jī)看文章

掃描二維碼
隨時隨地手機(jī)看文章

[導(dǎo)讀]5.14-rc6了,看起來5.14也快發(fā)布了。而我5.13的總結(jié)還沒有寫出,我早覺得有寫一點東西的必要了,這雖然于搬磚的碼農(nóng)毫不相干,但在追求上進(jìn)的工程師那里,卻大抵只能如此而已。為了不忘卻的紀(jì)念,我們列出5.13內(nèi)核的10個激動人心的新特性。上集先談4個:AppleM1的初始M...

5.14-rc6了,看起來5.14也快發(fā)布了。而我5.13的總結(jié)還沒有寫出,我早覺得有寫一點東西的必要了,這雖然于搬磚的碼農(nóng)毫不相干,但在追求上進(jìn)的工程師那里,卻大抵只能如此而已。為了不忘卻的紀(jì)念,我們列出5.13內(nèi)核10個激動人心的新特性。上集先談4個:

  1. Apple M1的初始

  2. Misc cgroup

  3. Landlock安全模塊

  4. 系統(tǒng)調(diào)用的堆棧隨機(jī)化


Apple M1的初始支持


5.13最爆炸性的新聞無非是初始的Apple M1支持,但是然并卵,實用性幾乎為0。因為,已經(jīng)合入的patch非常類似于SoC bringup的初級階段:

  • 帶earlycon支持的UART (samsung-style) 串口驅(qū)動

  • Apple中斷控制器,支持中斷、中斷親和(affinity )和IPI (跨CPU中斷)

  • SMP (通過標(biāo)準(zhǔn)spin-table來支持)

  • 基于simplefb的framebuffer驅(qū)動

  • Mac Mini的設(shè)備樹

這樣一個東西,是沒法用的,發(fā)燒友玩玩可以,但是我們感激并欣賞Hector Martin “marcan”領(lǐng)導(dǎo)的Asahi Linux項目開了一個這樣的好頭。但是,在Apple M1上面跑Ubuntu啥的,近期、中期和長期的選擇還是用Parallels虛擬化技術(shù)比較好。


Misc cgroup

眾所周知,cgroup具備一個強(qiáng)大的控制CPU、內(nèi)存、I/O等資源在不同的任務(wù)群間進(jìn)行分配的能力。比如,你通過下面的命令,限制A這個群的CFS調(diào)度類進(jìn)程,最多只能耗費20%CPU

這個世界上的絕大多數(shù)資源都是可以進(jìn)行抽象的,比如屬于cpuacctcpu、memoryblkio、net_cls什么的,但是,總有一些不同于常人的人,他們既不是男人,也不是女人,而是“妖如果有了仁慈的心”的人。Linux內(nèi)核的驅(qū)動子系統(tǒng)多達(dá)100多個,但是還是有極個別驅(qū)動不屬于這100多類中的任何一類,于是在drivers下面有個misc

現(xiàn)在內(nèi)核碰到了類似的問題,它的資源要進(jìn)行配額控制,但是不屬于通用的類型,而是:

  • Secure?Encrypted Virtualization (SEV) ASIDs

  • SEV - Encrypted State (SEV-ES)?ASIDs

這些有限的?ASIDs用于在AMD平臺上,進(jìn)行虛擬機(jī)內(nèi)存加密,不能歸于現(xiàn)有cgroup的任何一類。那么,咱們加個misc類的cgroup吧,于是Misc?control-group controller5.13內(nèi)核誕生了。這再次證明了,不要重新造輪子,但是你可以在現(xiàn)有的輪子里面放一個“雜交”輪子。Misc cgroup允許進(jìn)行一些特殊資源的控制,透過3個接口完成。

  • misc.capacity描述資源的能力(只讀),比如:

$ cat misc.capacityres_a 50res_b 10
  • 透過misc.current描述當(dāng)前資源的占用(只讀),比如:

$ cat misc.currentres_a 3res_b 0
  • 透過misc.max設(shè)置這個cgroup最多只能使用多少資源(可讀可寫),比如:

# echo res_a 1 > misc.max同志們,有了這個misc cgroup的支持,以后咱們的阿貓阿狗資源限制,也可以往里面塞了。它相當(dāng)于開了一道門。

?

Landlock安全模塊

曾經(jīng)有一個真誠的patch擺在我面前,但是我沒有珍惜,發(fā)了V1被人懟了后就放棄了,等到失去的時候才后悔莫及,塵世間最痛苦的事莫過于此,如果上天可以給我一個機(jī)會再來一次的話,我會對那個patch說我要繼續(xù)迭代發(fā)!如果非要在這個迭代的次數(shù)上加上一個期限,我希望是一百遍。5.13內(nèi)核,最勵志的事情無疑是,"Landlock" Lands In Linux 5.13 !在迭代了超過5年之后,安全組件landlock終于合入了Linux內(nèi)核,這份始于2016年的愛情,終于有了一個美好的結(jié)局。為此,Linux內(nèi)核doc的維護(hù)者,LDD3的作者之一Jonathan Corbet發(fā)文指出:Kernel development is not for people who lack persistence; changes can take a number of revisions and a lot of time to make it into a mainline release。文章鏈接:

https://lwn.net/Articles/859908/

所以,沒有耐力、不能持之以恒,想一夜暴富的人,真地不適合做kernel開發(fā)。Landlock LSM主要給非特權(quán)進(jìn)程提供安全沙盒的能力,比如你可以對一個普通進(jìn)程,施加自定義的文件系統(tǒng)訪問控制策略。

它的操作原理是,先創(chuàng)建一個規(guī)則集ruleset,比如,如下的ruleset就是涉及到文件的讀、寫、執(zhí)、讀DIR、寫DIR等:

ruleset對用戶以文件描述符fd的形式存在,再次證明了“一切都是文件”。接下來,我們可以透過這個fd,向這個ruleset里面添加rule,比如我們添加一個/usr目錄的“讀”規(guī)則,這樣進(jìn)程就不能寫/usr了:

我們把這個ruleset施加起來讓它生效:

想要體驗的童鞋可以用這個例子啟動你的進(jìn)程,它設(shè)置好ruleset后,會去call exec啟動命令行參數(shù)指定的程序:

https://github.com/landlock-lsm/linux/blob/landlock-v34/samples/landlock/sandboxer.c

LL_FS_RO環(huán)境變量是可讀文件的列表,LL_FS_RW環(huán)境變量是可讀寫文件的列表,運行方法:


LL_FS_RO=”只讀路徑”?\LL_FS_RW=”可寫路徑”?\sandboxer??./a.outa.out是你的想要安全沙盒的程序。

在下已經(jīng)一睹為快,/home/baohua下面創(chuàng)建2個目錄1,2,然后創(chuàng)建/home/baohua/1/1/home/baohua/2/12個文件,限制第一個目錄只讀:

童鞋們看明白了嗎?我用sandboxer去啟動cat,2個文件都是成功的。但是,去啟動echo,/home/baohua/1/1是不允許寫的,但是/home/baohua/2/1是可以寫的。實際上,/home/baohua/1/1和/home/baohua/2/1并沒有絲毫的不同。landlock在發(fā)揮作用了!


系統(tǒng)調(diào)用的堆棧隨機(jī)化

這是一項安全增強(qiáng),它允許對系統(tǒng)調(diào)用發(fā)生時,內(nèi)核使用的堆棧添加一個隨機(jī)偏移。這給基于stack的攻擊增加了難度,因為stack攻擊通常要求stack有個固定的layout?,F(xiàn)在每次系統(tǒng)調(diào)用,stacklayout都變化的話,黑客就比較捉摸不定了。比如ARM64主要修改了invoke_syscall()這個函數(shù):

這個東西聽起來很高大上,但是它的原理可能簡單地你想哭,show me the code:

它實際上就是每次系統(tǒng)調(diào)用把offset隨機(jī)化一下,然后通過__builtin_alloca()stack里面分配一些stack空間,于是導(dǎo)致stack的位置移動。我們可以寫個非常簡單的應(yīng)用程序來驗證原理:

然后編譯

gcc 1.c -fno-stack-protector -O0運行:

親愛的,你有沒有發(fā)現(xiàn),10次函數(shù)調(diào)用的時候,每次stack臨時變量的位置都不一樣!?。?/span>


本文未完待續(xù),您的贊賞將鼓勵我的原創(chuàng)

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

LED驅(qū)動電源的輸入包括高壓工頻交流(即市電)、低壓直流、高壓直流、低壓高頻交流(如電子變壓器的輸出)等。

關(guān)鍵字: 驅(qū)動電源

在工業(yè)自動化蓬勃發(fā)展的當(dāng)下,工業(yè)電機(jī)作為核心動力設(shè)備,其驅(qū)動電源的性能直接關(guān)系到整個系統(tǒng)的穩(wěn)定性和可靠性。其中,反電動勢抑制與過流保護(hù)是驅(qū)動電源設(shè)計中至關(guān)重要的兩個環(huán)節(jié),集成化方案的設(shè)計成為提升電機(jī)驅(qū)動性能的關(guān)鍵。

關(guān)鍵字: 工業(yè)電機(jī) 驅(qū)動電源

LED 驅(qū)動電源作為 LED 照明系統(tǒng)的 “心臟”,其穩(wěn)定性直接決定了整個照明設(shè)備的使用壽命。然而,在實際應(yīng)用中,LED 驅(qū)動電源易損壞的問題卻十分常見,不僅增加了維護(hù)成本,還影響了用戶體驗。要解決這一問題,需從設(shè)計、生...

關(guān)鍵字: 驅(qū)動電源 照明系統(tǒng) 散熱

根據(jù)LED驅(qū)動電源的公式,電感內(nèi)電流波動大小和電感值成反比,輸出紋波和輸出電容值成反比。所以加大電感值和輸出電容值可以減小紋波。

關(guān)鍵字: LED 設(shè)計 驅(qū)動電源

電動汽車(EV)作為新能源汽車的重要代表,正逐漸成為全球汽車產(chǎn)業(yè)的重要發(fā)展方向。電動汽車的核心技術(shù)之一是電機(jī)驅(qū)動控制系統(tǒng),而絕緣柵雙極型晶體管(IGBT)作為電機(jī)驅(qū)動系統(tǒng)中的關(guān)鍵元件,其性能直接影響到電動汽車的動力性能和...

關(guān)鍵字: 電動汽車 新能源 驅(qū)動電源

在現(xiàn)代城市建設(shè)中,街道及停車場照明作為基礎(chǔ)設(shè)施的重要組成部分,其質(zhì)量和效率直接關(guān)系到城市的公共安全、居民生活質(zhì)量和能源利用效率。隨著科技的進(jìn)步,高亮度白光發(fā)光二極管(LED)因其獨特的優(yōu)勢逐漸取代傳統(tǒng)光源,成為大功率區(qū)域...

關(guān)鍵字: 發(fā)光二極管 驅(qū)動電源 LED

LED通用照明設(shè)計工程師會遇到許多挑戰(zhàn),如功率密度、功率因數(shù)校正(PFC)、空間受限和可靠性等。

關(guān)鍵字: LED 驅(qū)動電源 功率因數(shù)校正

在LED照明技術(shù)日益普及的今天,LED驅(qū)動電源的電磁干擾(EMI)問題成為了一個不可忽視的挑戰(zhàn)。電磁干擾不僅會影響LED燈具的正常工作,還可能對周圍電子設(shè)備造成不利影響,甚至引發(fā)系統(tǒng)故障。因此,采取有效的硬件措施來解決L...

關(guān)鍵字: LED照明技術(shù) 電磁干擾 驅(qū)動電源

開關(guān)電源具有效率高的特性,而且開關(guān)電源的變壓器體積比串聯(lián)穩(wěn)壓型電源的要小得多,電源電路比較整潔,整機(jī)重量也有所下降,所以,現(xiàn)在的LED驅(qū)動電源

關(guān)鍵字: LED 驅(qū)動電源 開關(guān)電源

LED驅(qū)動電源是把電源供應(yīng)轉(zhuǎn)換為特定的電壓電流以驅(qū)動LED發(fā)光的電壓轉(zhuǎn)換器,通常情況下:LED驅(qū)動電源的輸入包括高壓工頻交流(即市電)、低壓直流、高壓直流、低壓高頻交流(如電子變壓器的輸出)等。

關(guān)鍵字: LED 隧道燈 驅(qū)動電源
關(guān)閉