當(dāng)前位置：首頁(yè) > 嵌入式 > Linux閱碼場(chǎng)

宋寶華：為了不忘卻的紀(jì)念，評(píng)Linux 5.13內(nèi)核（上集）

時(shí)間：2021-09-23 15:42:09

關(guān)鍵字：內(nèi)核

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]5.14-rc6了，看起來5.14也快發(fā)布了。而我5.13的總結(jié)還沒有寫出，我早覺得有寫一點(diǎn)東西的必要了，這雖然于搬磚的碼農(nóng)毫不相干，但在追求上進(jìn)的工程師那里，卻大抵只能如此而已。為了不忘卻的紀(jì)念，我們列出5.13內(nèi)核的10個(gè)激動(dòng)人心的新特性。上集先談4個(gè)：AppleM1的初始M...

5.14-rc6了，看起來5.14也快發(fā)布了。而我5.13的總結(jié)還沒有寫出，我早覺得有寫一點(diǎn)東西的必要了，這雖然于搬磚的碼農(nóng)毫不相干，但在追求上進(jìn)的工程師那里，卻大抵只能如此而已。為了不忘卻的紀(jì)念，我們列出5.13內(nèi)核的10個(gè)激動(dòng)人心的新特性。上集先談4個(gè)：

Apple M1的初始
Misc cgroup
Landlock安全模塊
系統(tǒng)調(diào)用的堆棧隨機(jī)化

Apple M1的初始支持

5.13最爆炸性的新聞無非是初始的Apple M1支持，但是然并卵，實(shí)用性幾乎為0。因?yàn)?，已?jīng)合入的patch非常類似于SoC bringup的初級(jí)階段：

帶earlycon支持的UART (samsung-style) 串口驅(qū)動(dòng)
Apple中斷控制器，支持中斷、中斷親和(affinity )和IPI (跨CPU中斷)
SMP (通過標(biāo)準(zhǔn)spin-table來支持）
基于simplefb的framebuffer驅(qū)動(dòng)
Mac Mini的設(shè)備樹

這樣一個(gè)東西，是沒法用的，發(fā)燒友玩玩可以，但是我們感激并欣賞Hector Martin “marcan”領(lǐng)導(dǎo)的Asahi Linux項(xiàng)目開了一個(gè)這樣的好頭。但是，在Apple M1上面跑Ubuntu啥的，近期、中期和長(zhǎng)期的選擇還是用Parallels虛擬化技術(shù)比較好。

Misc cgroup

眾所周知，cgroup具備一個(gè)強(qiáng)大的控制CPU、內(nèi)存、I/O等資源在不同的任務(wù)群間進(jìn)行分配的能力。比如，你通過下面的命令，限制A這個(gè)群的CFS調(diào)度類進(jìn)程，最多只能耗費(fèi)20%的CPU：

這個(gè)世界上的絕大多數(shù)資源都是可以進(jìn)行抽象的，比如屬于cpuacct、cpu、memory、blkio、net_cls什么的，但是，總有一些不同于常人的人，他們既不是男人，也不是女人，而是“妖如果有了仁慈的心”的人。Linux內(nèi)核的驅(qū)動(dòng)子系統(tǒng)多達(dá)100多個(gè)，但是還是有極個(gè)別驅(qū)動(dòng)不屬于這100多類中的任何一類，于是在drivers下面有個(gè)misc：

現(xiàn)在內(nèi)核碰到了類似的問題，它的資源要進(jìn)行配額控制，但是不屬于通用的類型，而是：

Secure?Encrypted Virtualization (SEV) ASIDs
SEV - Encrypted State (SEV-ES)?ASIDs

這些有限的?ASIDs用于在AMD平臺(tái)上，進(jìn)行虛擬機(jī)內(nèi)存加密，不能歸于現(xiàn)有cgroup的任何一類。那么，咱們加個(gè)misc類的cgroup吧，于是Misc?control-group controller在5.13內(nèi)核誕生了。這再次證明了，不要重新造輪子，但是你可以在現(xiàn)有的輪子里面放一個(gè)“雜交”輪子。Misc cgroup允許進(jìn)行一些特殊資源的控制，透過3個(gè)接口完成。

misc.capacity描述資源的能力（只讀），比如：

$ cat misc.capacityres_a 50res_b 10

透過misc.current描述當(dāng)前資源的占用（只讀），比如：

$ cat misc.currentres_a 3res_b 0

透過misc.max設(shè)置這個(gè)cgroup最多只能使用多少資源（可讀可寫），比如：

# echo res_a 1 > misc.max同志們，有了這個(gè)misc cgroup的支持，以后咱們的阿貓阿狗資源限制，也可以往里面塞了。它相當(dāng)于開了一道門。

Landlock安全模塊

曾經(jīng)有一個(gè)真誠(chéng)的patch擺在我面前，但是我沒有珍惜，發(fā)了V1被人懟了后就放棄了，等到失去的時(shí)候才后悔莫及，塵世間最痛苦的事莫過于此，如果上天可以給我一個(gè)機(jī)會(huì)再來一次的話，我會(huì)對(duì)那個(gè)patch說我要繼續(xù)迭代發(fā)！如果非要在這個(gè)迭代的次數(shù)上加上一個(gè)期限，我希望是一百遍。5.13內(nèi)核，最勵(lì)志的事情無疑是，"Landlock" Lands In Linux 5.13 ！在迭代了超過5年之后，安全組件landlock終于合入了Linux內(nèi)核，這份始于2016年的愛情，終于有了一個(gè)美好的結(jié)局。為此，Linux內(nèi)核doc的維護(hù)者，LDD3的作者之一Jonathan Corbet發(fā)文指出：Kernel development is not for people who lack persistence; changes can take a number of revisions and a lot of time to make it into a mainline release。文章鏈接：

https://lwn.net/Articles/859908/

所以，沒有耐力、不能持之以恒,想一夜暴富的人，真地不適合做kernel開發(fā)。Landlock LSM主要給非特權(quán)進(jìn)程提供安全沙盒的能力，比如你可以對(duì)一個(gè)普通進(jìn)程，施加自定義的文件系統(tǒng)訪問控制策略。

它的操作原理是，先創(chuàng)建一個(gè)規(guī)則集ruleset，比如，如下的ruleset就是涉及到文件的讀、寫、執(zhí)、讀DIR、寫DIR等：

ruleset對(duì)用戶以文件描述符fd的形式存在，再次證明了“一切都是文件”。接下來，我們可以透過這個(gè)fd，向這個(gè)ruleset里面添加rule，比如我們添加一個(gè)/usr目錄的“讀”規(guī)則，這樣進(jìn)程就不能寫/usr了：

我們把這個(gè)ruleset施加起來讓它生效：

想要體驗(yàn)的童鞋可以用這個(gè)例子啟動(dòng)你的進(jìn)程，它設(shè)置好ruleset后，會(huì)去call exec啟動(dòng)命令行參數(shù)指定的程序：

https://github.com/landlock-lsm/linux/blob/landlock-v34/samples/landlock/sandboxer.c

LL_FS_RO環(huán)境變量是可讀文件的列表，LL_FS_RW環(huán)境變量是可讀寫文件的列表，運(yùn)行方法：

LL_FS_RO=”只讀路徑”?\LL_FS_RW=”可寫路徑”?\sandboxer??./a.outa.out是你的想要安全沙盒的程序。

在下已經(jīng)一睹為快，在/home/baohua下面創(chuàng)建2個(gè)目錄1,2，然后創(chuàng)建/home/baohua/1/1和/home/baohua/2/1這2個(gè)文件，限制第一個(gè)目錄只讀：

童鞋們看明白了嗎？我用sandboxer去啟動(dòng)cat，2個(gè)文件都是成功的。但是，去啟動(dòng)echo，/home/baohua/1/1是不允許寫的，但是/home/baohua/2/1是可以寫的。實(shí)際上，/home/baohua/1/1和/home/baohua/2/1并沒有絲毫的不同。landlock在發(fā)揮作用了！

系統(tǒng)調(diào)用的堆棧隨機(jī)化

這是一項(xiàng)安全增強(qiáng)，它允許對(duì)系統(tǒng)調(diào)用發(fā)生時(shí)，內(nèi)核使用的堆棧添加一個(gè)隨機(jī)偏移。這給基于stack的攻擊增加了難度，因?yàn)?span>stack攻擊通常要求stack有個(gè)固定的layout。現(xiàn)在每次系統(tǒng)調(diào)用，stack的layout都變化的話，黑客就比較捉摸不定了。比如ARM64主要修改了invoke_syscall()這個(gè)函數(shù)：

這個(gè)東西聽起來很高大上，但是它的原理可能簡(jiǎn)單地你想哭，show me the code：

它實(shí)際上就是每次系統(tǒng)調(diào)用把offset隨機(jī)化一下，然后通過__builtin_alloca()從stack里面分配一些stack空間，于是導(dǎo)致stack的位置移動(dòng)。我們可以寫個(gè)非常簡(jiǎn)單的應(yīng)用程序來驗(yàn)證原理：

然后編譯

gcc 1.c -fno-stack-protector -O0運(yùn)行：

親愛的，你有沒有發(fā)現(xiàn)，10次函數(shù)調(diào)用的時(shí)候，每次stack臨時(shí)變量的位置都不一樣?。。?/span>

本文未完待續(xù)，您的贊賞將鼓勵(lì)我的原創(chuàng)

本站聲明：本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布，目的在于傳遞更多信息，并不代表本站贊同其觀點(diǎn)，本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請(qǐng)聯(lián)系該專欄作者，如若文章內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系本站刪除（郵箱：macysun@21ic.com ）。

換一批

2025貴州茅臺(tái)韶華文化活動(dòng)書寫年輕化破圈新篇

"悅知己悅韶華 ——燃擎赴競(jìng)技，承韻敬新生" 貴陽(yáng)2025年11月22日 /美通社/ -- "悅知己悅韶華——燃擎赴競(jìng)技，承韻敬新生"2025貴州茅臺(tái)韶華文化活動(dòng)于11月21...

關(guān)鍵字：內(nèi)核燈光觸摸 SUPER

[美通社全球TMT]

從靈感到現(xiàn)實(shí)：LEPAS設(shè)計(jì)團(tuán)隊(duì)解碼"豹麗美學(xué)"的誕生之旅

蕪湖2025年11月20日 /美通社/ -- 在汽車工業(yè)領(lǐng)域，真正打動(dòng)人心的設(shè)計(jì)，從不是冷冰參數(shù)的堆砌，而是感性與理性的深度共鳴。在LEPAS的設(shè)計(jì)中心，一支由全球的設(shè)計(jì)精英組成的國(guó)際化團(tuán)隊(duì)，以獵豹為靈感內(nèi)核，以自然為設(shè)...

關(guān)鍵字：解碼曲面儀表內(nèi)核

[美通社全球TMT]

LEPAS優(yōu)雅科技以全球五星安全標(biāo)準(zhǔn)，守護(hù)每一段優(yōu)雅旅程

蕪湖2025年11月7日 /美通社/ -- 當(dāng)汽車從出行工具拓展到生活半徑，在產(chǎn)業(yè)智能化變革的浪潮下，"安全"已經(jīng)成為消費(fèi)者優(yōu)雅生活的必選項(xiàng)，更是品牌可持續(xù)發(fā)展的生命線。奇瑞集團(tuán)旗下全新新能源品牌LE...

關(guān)鍵字：防護(hù) 奇瑞新能源內(nèi)核

[美通社全球TMT]

三赴進(jìn)博！西井科技以"智?能"內(nèi)核重構(gòu)全球智慧物流新格局

上海2025年11月5日 /美通社/ -- 第八屆進(jìn)博會(huì)（11.5-10，上海）啟幕之際，場(chǎng)景化新能源自動(dòng)駕駛?cè)騽?chuàng)領(lǐng)者，西井控股（香港）有限公司W(wǎng)estwell Holdings (Hong Kong) Limited...

關(guān)鍵字：內(nèi)核智慧物流 BSP TRUCK

[美通社全球TMT]

LEPAS驚艷2025奇瑞國(guó)際用戶生態(tài)大會(huì)，"科技+優(yōu)雅"碰撞定義新生活

蕪湖2025年11月3日 /美通社/ -- 10月17日至21日，2025奇瑞國(guó)際用戶生態(tài)大會(huì)在安徽蕪湖盛大舉行。奇瑞集團(tuán)旗下全新新能源品牌LEPAS通過一系列沉浸式、互動(dòng)性與科技感兼具的活動(dòng)，在全球主流媒體、經(jīng)銷商代表...

關(guān)鍵字：奇瑞新能源內(nèi)核 LAN

[美通社全球TMT]

博澤創(chuàng)新方案為汽車產(chǎn)業(yè)發(fā)展注入卓越“內(nèi)核”

上海2025年4月21日 /美通社/ -- 當(dāng)前汽車行業(yè)正經(jīng)歷深刻變革：電動(dòng)化進(jìn)程持續(xù)加速，多種技術(shù)路線并行發(fā)展；智能化技術(shù)融合各類場(chǎng)景，加快落地應(yīng)用；消費(fèi)者個(gè)性化需求日益凸顯，舒適性配置成為汽車差異化競(jìng)爭(zhēng)的關(guān)鍵要素；同...

關(guān)鍵字：內(nèi)核汽車產(chǎn)業(yè) 可持續(xù)發(fā)展智能化技術(shù)

[美通社全球TMT]

天高云闊，一路佳通----佳通P10極致中國(guó)行錫林郭勒大草原站

上海2024年8月22日 /美通社/ -- 九曲銀河落碧川，蒼穹遼闊引浮翩。8月20-21日，佳通P10極致中國(guó)行活動(dòng)來到天穹如蓋、遼闊無垠的錫林郭勒，開啟一場(chǎng)草原文化和自然風(fēng)光的深度融合之旅。在佳通駕控P10輪胎提供的...

關(guān)鍵字： P10 輪胎內(nèi)核可持續(xù)發(fā)展

[美通社全球TMT]

走進(jìn)麗水 - 藍(lán)科中國(guó)出席"高端會(huì)計(jì)人才'浙麗說'暨會(huì)計(jì)人才助力新質(zhì)生產(chǎn)力"主題研討會(huì)

麗水2024年8月9日 /美通社/ -- 7月27日，藍(lán)科中國(guó)應(yīng)邀出席由浙江省總會(huì)計(jì)師協(xié)會(huì)、麗水市財(cái)政會(huì)計(jì)學(xué)會(huì)、麗水職業(yè)技術(shù)學(xué)院繼續(xù)教育學(xué)院、浙江省第四期高端會(huì)計(jì)人才班、聯(lián)合舉辦的"高端會(huì)計(jì)人才'浙麗說'暨會(huì)計(jì)...

關(guān)鍵字：研討會(huì) BSP 內(nèi)核電器

[美通社全球TMT]

澎湃認(rèn)證：浪潮信息集中式存儲(chǔ)攜手長(zhǎng)擎安全操作系統(tǒng)24完成兼容性認(rèn)證

北京2024年7月19日 /美通社/ -- 近日，長(zhǎng)擎安全操作系統(tǒng)24與浪潮信息集中式存儲(chǔ)HF/AS系列產(chǎn)品完成并通過浪潮信息澎湃技術(shù)相互兼容性測(cè)試認(rèn)證，長(zhǎng)擎安全操作系統(tǒng)24與浪潮信息集中式存儲(chǔ)HF/AS系列產(chǎn)品完全兼容...

關(guān)鍵字：操作系統(tǒng) 測(cè)試內(nèi)核數(shù)字化

[嵌入式分享]