Jaderné noviny – 21. 7. 2011: Co zpozdilo Linux 3.0 a NAT v IPv6

1. 8. 2011 | Jirka Bourek | Jaderné noviny | 4404×

Obsah

• Aktuální verze jádra: 3.0 ještě nevyšlo
• Citáty týdne: Paul McKenney, Thomas Gleixner
• Garrett: Bootování s EFI
• Návrat realtime stromu
• NAT v IPv6
• Jak Linusovi zkazit dovolenou
• RLIMIT_NPROC and setuid()

Aktuální verze jádra: 3.0 ještě nevyšlo

Jádro 3.0 ještě vydáno nebylo, alespoň ne v době psaní tohoto článku. Záludné chyby, první ve VFS (vizte níže), druhá v RCU zpozdily vydání, které je jinak již připraveno: historie naznačuje, že k vydání dojde okamžitě po zveřejnění článku.

Stabilní aktualizace: během minulého týdne žádné nevyšly a žádné se ani nerevidují.

Citáty týdne: Paul McKenney, Thomas Gleixner

-- Paul McKenney vysvětluje, proč (ještě) nemůžeme mít hezké 3.0

-- Thomas Gleixner

Garrett: Bootování s EFI

Matthew Garrett zkoumá záludnosti bootování Linuxu s EFI. Výrobci hardwaru se opět krátkozrace zaměřují na Windows. Jak jsme mnohokrát viděli v minulosti, jediná věc, kterou si výrobci hardwaru zkontrolují, je, jestli Windows bootují správně. Což znamená, že vůbec není překvapením, když zjistíte, že některé systémy podle všeho ignorují bootovací proměnné EFI a místo toho prostě hledají záložní zavaděč [fallback bootloader]. Záložní zavaděč nemá jmenné prostory, což garantuje kolize, pokud je na stejném stroji nainstalováno několik operačních systémů [...] Mohlo by to být horší. Pokud tam již zavaděč je, Windows ho nepřepíší, takže věci jsou o něco málo lepší než ve dnech MBR. Zavaděč Windows ale Linux nenabootuje, takže pokud tam jsou Windows první, stále máme problém.

Návrat realtime stromu

Ti, kteří sledují sadu patchů pro preempci v reálném čase, ví, že se na nějaký čas zasekla u 2.6.33. S vydáním nového patche založeném na 3.0-rc7 nám Thomas Gleixner řekl proč: celá sada patchů byla přepracována a pročištěna, bylo implementováno nové řešení problému proměnných specifických pro CPU a vydání založené na 2.6.38 pozdržela ošklivá chyba. Ta potvora trvala na tom, že bude ničit souborové systémy. Reprodukovat ji trvalo celé dny a naprosto odmítala odhalit alespoň malinkatý náznak toho, kde je příčina. Koukat několik měsíců do naprosto zbytečných výpisů není příliš zábavná činnost. Verze 3.0-rc7 naštěstí žádné takové chování nevykazuje.

NAT v IPv6

napsal Jonathan Corbet, 20. července 2011

Jedna z hezkých věcí, kterou měl protokol IPv6 zajistit, bylo odstranění potřeby překladu síťových adres (NAT). Adresový prostor je dost velký na to, aby motivace pro použití NATu (nedostatek adres, nutnost přečíslovat sítě při změně poskytovatele) zmizela. NAT se často považuje za hack, který rozbil architekturu Internetu, takže není málo lidí, kteří ho rádi uvidí zmizet. Přechod na IPv6 často vypadal jako příležitost to zajistit.

Není tedy překvapující, že když Terry Moës zaslal implementaci IPv6 NATu pro Linux, první odpovědi byly méně než příznivé. Každý, kdo chce vidět konec NATu, jenom těžko přivítá implementaci, která může sloužit jenom k jeho prodloužení po přechodu na IPv6. Smutný fakt ale je, že NAT tu podle všeho zůstane. David Miller to vyjádřil typicky přímo:

Ať se nám to líbí nebo ne, s NATem se budeme potýkat navždy. Ti, které zajímá, jak by mohl fungovat v Linuxu, mohou najít Terryho implementaci na SourceForge společně s pojednáním o návrhu kódu. Podporován je bezestavový (RFC 6296) i stavový NAT.

Jak Linusovi zkazit dovolenou

napsal Jonathan Corbet, 19. července 2011

Za všecho může Hugh.

Linus už se chystal vydat finální verzi jádra 3.0, když se objevil Hugh Dickins s malým problémem: čas od času kompletní kopie stromu zdrojových kódu jádra selže, protože jeden ze souborů dočasně zmizí. Následovalo odhodlané cvičení v honu na chyby, které ukazuje, jak citlivý a záludný je základní kód. Problém byl nalezen a zlikvidován, ale mohou být i další.

K lepšímu porozumění toho, co se zde stalo, by mohlo pomoci nějaké pozadí. Vydání 2.6.38 obsahovalo patche škálovatelnosti dcache; kód používá spoustu triků k tomu, aby při vyhledávání jmen souborů nemusel zabírat zámky. Pro správnou zátěž metoda „procházky RCU“ [RCU walk] poskytuje významné zlepšení výkonu. To ale funguje jenom v případě, že veškeré relevantní struktury se záznamem o adresáři [directory entry, „dentry“] jsou v dentry cache jádra a při vyhledávání nedojde k souběhu s dalšími CPU, které se pokouší stejnou cestu změnit. Když se narazí na takovou situaci, vyhledávání se vrátí ke staršímu a pomalejšímu algoritmu, který vyžaduje zamknutí každé dentry.

Dentry cache (dcache) je velmi dynamická datová struktura, jednotlivé záznamy nepřetržitě přichází a mizí. Jedno CPU tedy může odstranit dentry ve stejnou chvíli, kdy se ho jiné pokouší použít k vyhledání jména. Chaosu se předchází používáním mechanismu čtení-kopírování-aktualizace [read-copy-update, RCU], který se stará o odstraňování dentry záznamu; záznam je možné odstranit z cache, ale pokud vlákno, které tuto dentry používá, získalo odkaz před jeho odstraněním, struktura samotná bude existovat do doby, dokud ji nějaké vlákno potřebuje. To samé by mělo platit pro strukturu inode spojenou s touto dentry.

Hugh vysledoval problém v kousku kódu v walk_component():

err = do_lookup(nd, name, path, &inode);
/* ... */
if (!inode) {
        path_to_nameidata(path, nd);
        terminate_walk(nd);
        return -ENOENT;
}

Pokud do_lookup() vrátí nulový ukazatel na inode, walk_component() předpokládá, že se narazilo na „negativní dentry“. Negativní dentry se v dentry cache ukládají a ukazují na fakt, že specifické jméno neexistuje; to je významná vlastnost linuxové vrstvy virtuálního souborového systému, která zvyšuje výkonnost. Jestli chcete vidět příklad, spusťte jakkoliv jednoduchý program pod strace a podívejte se, kolik systémových volání vrátí ENOENT; k vyhledávání neexistujících souborů dochází často. Hugh zjistil, že tento ukazatel na inode se občas vrací nulový i v případě, že soubor existuje, což kód vede k domněnce, že se narazilo na negativní dentry; to vedlo k „dočasnému zmizení souboru“.

Hugh se na tento kód musel dívat dlouho předtím, než došel k závěru, že jádro odstraňuje dentry z dcache ve špatný čas při vyhledávání. Jak bylo popsáno výše, dentry jako taková existuje i po odstranění z cache, ale to neznamená, že se nemůže změnit: odstranění nastaví ukazatel d_inode na NULL. (Stojí za to poznamenat, že toto chování jde proti obvykle praxi používání RCU, která říká, že by se struktura neměla měnit, dokud není jisté, že i poslední odkaz zmizel.) Hugh došel k závěru, že tento nulový ukazatel je později přečten při vyhledávání cesty, takže walk_component() si myslí, že soubor neexistuje, přičemž ve skutečnosti došlo pouze k odstranění dentry z cache. Hlášení o problému obsahovalo patch, který zajistil, že si kód vyhledávání lépe ověřil, že soubor skutečně neexistuje, když se mu vrátilo NULL.

Linus problém potvrdil, ale oprava se mu nelíbila, protože podle něj byla příliš specifická pro jednu konkrétní situaci. Navrhl alternativu: prostě nenastavit d_inode na NULL; ukazatel na inode by pak takovou hodnotou později nemohl nic zmást. Al Viro zaslal alternativní opravu, která měnila chování dcache méně záludněji, měl obavu ze zavedení dalších divných chyb:

Linusovi se Alova oprava nelíbila; hrozila tím, že zpomalí pomalé vyhledávání, když se bude jednat o negativní dentry. Diskuze o patchích trvala nějakou dobu; jak se snažili najít nejbezpečnější opravu chyby, oba účastníci diskuze pomalu přišli na to, že ve skutečnosti neví, co se děje. Když se na věc Linus podíval zblízka, mávnul rukama a přiznal, že je nechápe:

Jak se stává, Linusova interpretace byla dostatečná k tomu, aby Hugha nasměrovala na skutečný problém. Když je proces procházení specifickou dentry téměř hotov, do_lookup() volá __follow_mount_rcu(), která má proces vyhledávání přesměrovat, pokud se prochází přípojným bodem [mount point]. Ukazatel na inode je __follow_mount_rcu() předán samostatně; Hugh si všiml, že funkce dělá následující:

*inode = path->dentry->d_inode;

Jinými slovy se ukazatel na inode znovu načte ze struktury dentry; k tomuto přiřazení dojde bez ohledu na to, jestli dentry reprezentuje přípojný bod. To je skutečným zdrojem problému: jestliže byla dentry odstraněna z dcache poté, co proces vyhledávání získal odkaz, d_inode bude NULL. __follow_mount_rcu() vynuluje ukazatel, který ukazoval na platný inode, takže si následující kód myslí, že soubor vůbec neexistuje.

Linus zaslal opravu skutečného problému společně s nyní slavným příspěvkem na Google+, ve kterém píše, že pro jistotu zpozdí vydání 3.0 o jeden den.

Linus vydání zpozdil i přes nepříhodnou skutečnost, že to začleňovací okno 3.1 posune do jeho plánované dovolené. Z jeho strany to nicméně byla opatrnost na správném místě: JasněSprávný(tm) patch měl ZaseDalšíZáludnouChybu(tm). Opravená verze patche již existuje a tato konkrétní chyba by měla v tuto chvíli být historií.

Z této epizody je nicméně potřeba vzít si ponaučení nutící k zamyšlení. Chování dentry cache je v tomto okamžiku tak citlivé, že i kombinovaná síla mozků vývojářů, jako je Linus, Al a Hugh, jen tak tak stačila na to zjistit, co se dělo. Stejní vývojáři jsou zjevně nervózní ze změn v této části jádra. Naše přístupné a snadno programovatelné jádro postupem času zesložitělo a je stále těžší ho pochopit. Z velké části se tomu nedá vyhnout; prostředí, ve kterém jádro běží, je samo o sobě za posledních 20 let složitější a složitější. Jestliže se ale dostaneme do bodu, kde téměř nikdo nebude schopen pochopit, revidovat nebo opravit nějakou část základního kódu, budeme si zadělávat na dlouhodobé problémy.

Mezi tím bychom si měli být schopni užít vydání 3.0 (a aktualizaci 2.6.39) bez záhadně mizících souborů. Jeden potenciální krátkodobý problém nicméně zůstává: vzhledem k tomu, že další začleňovací okno se protáhne do Linusovy dovolené, je tu šance, že bude více než obvykle nabručený na správce, kteří zašlou své požadavky na přetažení [pull request] pozdě. Až se začleňovací okno otevře, moudří správci subsystému by měli být připraveni ke startu.

RLIMIT_NPROC and setuid()

napsal Jake Edge, 20. července 2011

Systémové volání setuid() v Linuxu (a dalších Unixových systémech) vždy představovalo bezpečnostní problém. Má podivné interakce s bezpečnostními a dalšími vlastnostmi jádra (např. nešťastně pojmenovaná chyba sendmailu a kvalifikací [capabilities]) a v programech se často používá chybně. Je to ale součásti unixového dědictví a bude s námi pravděpodobně přinejmenším do doby, než chyba roku 2038 ukončí trápení unixových systémů. Nedávný patch od Vasilije Kulikova pravděpodobně ukazuje tyto problémy v akci: podivné interakce omezení zdrojů a špatného používání systémového volání setuid().

Problém, který se Vasilij pokouší řešit, má poměrně historické pozadí. Roku 2003 se programy používající setuid() k přepnutí na jiného uživatele, než je root, mohly vyhnout limitu na počet procesů, které administrátor pro daného uživatele nastavil (tj. RLIMIT_PROC). To ale opravil patch Neila Browna, který způsobil, že volání setuid() selže, když je nový uživatel nad limitem.

Bohužel mnoho programů návratovou hodnotu setuid(), které má omezit jejich práva, nekontroluje. To je ve skutečnosti chyba, na kterou narazil sendmail, když byly zavedeny kvalifikace, protože nekontroloval, jestli přepnutí na nové UID opravdu uspělo. Chybné programy, které nekontrolují návratovou hodnotu, mohou způsobit poměrně závažné bezpečnostní problémy, protože předpokládají, že jejich činnost je omezena omezenými privilegii nového uživatele; ve skutečnosti přitom běží se zvýšenými privilegii (často pod rootem), se kterými byly spuštěny. Změna z roku 2003 tedy útočníkům přidala způsob, jak zajistit, aby setuid() selhalo, když se použilo RLIMIT_PROC.

Vasilij problém popsal v červnu a poznamenal, že to není chyba v Linuxu, ale umožňuje zachybovaným privilegovaným programům napáchat chaos:

Ve svém příspěvku navrhl dvě možná řešení problému. Prvním je přesunout kontrolu RLIMIT_NPROC z set_user() (pomocná funkce setuid()) do execve(), protože většina programů návratovou hodnotu tohoto volání kontroluje (a když ne, nezpůsobí to problémy). Další návrh je ten, který roku 2006 přišel od Alexandera Peslyaka (též znám jako Solar Designer), aby selhání volání setuid() zaslalo procesu SIGSEGV, což by špatně se chovající programy ukončilo.

První řešení není kompletní, protože by to stále uživatelům umožnilo překročit limit na počet procesů tím, že by používali setuid(), které by nebylo následováno execve(), ale to je dostatečně vzácný případ na to, aby se to nepovažovalo za významný problém. Alexanderovo řešení bylo v době, kdy bylo navrženo, považováno za příliš velkou palici, obzvláště kvůli programům, které kontrolují návratovou hodnotu setuid() a takový případ mají ošetřený.

Na první pokus nedostal Vasilij žádné odpovědi, ale když s tímto tématem přišel znovu 6. července, byl příjemně překvapen kladným postojem Linuse Torvaldse:

To vedlo k patchi, který mění do_execve_common(), aby vrátilo chybu (EAGAIN), pokud je proces přes limit, a kontrola v set_user() byla odstraněna. Patch byl přijat dobře, ale někteří komentátoři nebyli přesvědčeni, že by měl jít už do -rc 3.0, jak navrhl Linus. Když se Neil na patch podíval, viděl problém, který je možná potřeba řešit:

Zjednodušeně je problém v tom, že přepnutí procesu pod jiného uživatele by mohl způsobit překročení limitu, ale tento limit by nebyl vynucen do volání execve() (jehož selhání by pravděpodobně způsobilo ukončení procesu). Mezitím by jakékoliv execve() v jiném z procesů daného uživatele selhalo. Není jasné, jak velký problém to je, ale rozhodně by to vedlo k neočekávanému chování. Neil navrhl patch, který by problém řešil přidáním příznaku procesu (PF_NPROC_EXCEEDED), který by se nastavil v setuid(), pokud by byl překročen limit, a následně by se kontroloval v do_execve_common() Tak by execve() selhalo jenom v procesu, který překročení limitu způsobil.

Vasilijovi i Alexanderovi se tento přístup líbil, i když Alexander není přesvědčen, že oproti Vasilijovu původnímu patchi má nějakou výhodu navíc. Také upozornil na to, že mezi setuid() a execve() může být předem neznámý interval, takže by se test na RLIMIT_NPROC měl opakovat, když se volá execve(): Bylo by trochu překvapení zjistit, že proces selhal na execve() kvůli RLIMIT_NPROC, když tento limit byl překročen před několika dny a v době volání execve() již překročen není.

Neil zatím novou verzi patche s přidaným testem nezaslal. Je tu také otázka, jestli problém, ze kterého má Neil obavu, je vůbec potřeba řešit a jestli to stojí za to přidat další bit pro příznak procesu (v současnosti zbývají pouze tři). Vzhledem k tomu, že Linus má zájem odzbrojit špatné programy, nějaká oprava se pravděpodobně dostane do 3.1. Není jasné, který přístup vyhraje, ale každopádně setuid() přestane selhávat kvůli překročení povoleného počtu procesů.

Jak poznamenal Vasilij a další, rozhodně to není chyba v jádře, co se tu opravuje. Je to ale dostatečně častá chyba v programech v uživatelském prostoru – často se závažnými důsledky – že stojí za to opravit ji v rámci proaktivního bezpečnostního opatření. Alexander vyjmenoval několik nedávných bezpečnostních problémů způsobených programy, které nekontrolují návratovou hodnotu setuid(). Také poznamenal, že problém není omezen na setuid-root programy, protože i jiné programy, které se pokouší přepnout na méně – jinak – privilegovaného uživatele, mohou také způsobit problémy, když se setuid() použije chybně.

Dopad změny je relativně malý a špatně napsaných programů v uživatelském prostoru – i těch, které mají běžet s nějakými oprávněními – je hojnost, takže je změna přijatelnější než jiné proaktivní opravy. Jak jsme viděli dříve, setuid() je zákeřná funkce a snadno se rozzlobí; může u ní docházet k překvapujícím interakcím s jinými zdánlivě přímočarými bezpečnostními opatřeními. Uzavřít díru v setuid(), i když problém žije v uživatelském prostoru, rozhodně vylepší celkovou bezpečnost Linuxu.

Nástroje: Tisk bez diskuse