Jaderné noviny – 17. 12. 2014: Pokračování začleňování verze 3.19

21. 2. 2015 | Tadeáš Pelech | Jaderné noviny | 4953×

Obsah

• Stav vydání jádra
• Citáty týdne
• Techniky škálovatelnosti pro praktickou synchronizační základních operací (ACM Queue)
• Vydán nftables 0.4
• Začleňovací okno verze 3.19 – 2. část
• Uživatelské jmenné prostory a setgroups()

Stav vydání jádra

Začleňovací okno verze 3.19 je stále otevřené; přehled (mnoha) změn začleněných v minulém týdnu viz samostatný článek níže.

Stabilní aktualizace: Verze 3.18.1, 3.17.7, 3.14.27, a 3.10.63 byly vydány dne 16. prosince.

Citáty týdne

Radost... V 1 ráno se uprostřed průtrže mračen snažím natáhnout plachtu nad sklepem, než se dole přeplní kanalizace... Jasně, existují horší práce než psaní ovladače disket.

– Alan Cox

/ * Cetero censeo, checkpatch.pl esse delendam * /

– Al Viro

Jedna věc je poskytnout uživateli root možnost, aby se mohl střelit do nohy. Ale dát mu nabitou zbraň namířenou na jeho nohou s nataženým úderníkem a cedulí, na které je napsáno „Chci, abys stiskl spoušť,“ se mi jeví jako špatný nápad.

– Eric Biederman

Byl jsem dlouho správcem bezdrátové části a teď bych se osobně rád vyvíjel jiným směrem. Navíc si myslím, že Linux bude mít prospěch z přílivu čerstvé krve více zapojené do povinností údržby. Odstoupím, aby k tomu mohlo dojít.

– John Linville

Techniky škálovatelnosti pro praktickou synchronizační základních operací (ACM Queue)

Davidlohr Bueso poskytuje přehled o technikách škálovatelnost zamykání jádra v tomto článku z ACM Queue. „Nedávno bylo věnováno značné úsilí řešení problémů se škálováním zámků v linuxovém jádru na velkých výkonných serverech. Mnoho z těchto problémů a řešení se vztahuje na podobný systémový software. Tento článek se týká obecných myšlenek a zkušeností v širším kontextu systémů, v naději, že může být užitečný pro lidi, kteří se potýkají s podobnými problémy škálování.“

Vydán nftables 0.4

Pro ty z vás, kteří sledujete vývoj nftables (potenciální nahrazení iptables ve virtuálních strojích), byla vydána verze 0.4 nástroje uživatelského prostoru nftables. Poskytuje přístup k mnoha novým funkcím včetně globálních pravidel, vylepšené podpory protokolování, maskování a NAT, podpory přesměrování (vyžaduje verzi jádra 3.19) a mnoha oprav.

Začleňovací okno verze 3.19 – 2. část

V souhrnu začleňovacího okna verze 3.19 z minulého týdne bylo uvedeno, že se všechno rozjíždí dost pomalu. Linus ten ztracený čas ale mezitím dohnal; v době vzniku tohoto článku bylo již do hlavního repozitáře zahrnuto více než 10 400 sad změn – přes 8 000 od minulého týdne. Tyto změny samozřejmě představují hodně oprav a nové práce. Mezi zajímavější změny viditelné pro uživatele patří:

• Síťová vrstva má nový subsystém pro úkoly snižování zátěže přepínání a směrování na patřičně výkonném hardwaru.
• Klient i server NFS nyní podporují možnosti NFS 4.2 ALLOCATE a DEALLOCATE. První slouží k vyžádání předalokace paměti pro soubor, zatímco druhá je užitečná pro uvolňování.
• Souborový systém f2fs má novou možnost „fastboot“, která zkracuje řadu kontrol při spuštění.
• Filtry použité se subsystémem ftrace nyní ve výrazech podporují logický operátor NOT („!“).
• Byla začleněna podpora překrytí stromu zařízení. Tato funkce by měla usnadnit život vývojářům pracujícím v systémech se „štíty“ nebo jinými typy dceřiných desek, které je třeba zapracovat do stromu zařízení při spuštění systému.
• Přibyla nová možnost funkce getsockopt() s názvem SO_INCOMING_CPU. Vrátí CPU, pro který probíhá zpracování pro daný soket. Při použití s hardwarem s více frontami ve velkých systémech může tato možnost aplikaci umožnit rozdělení práce mezi procesory a maximalizovat tak propustnost.
• Nyní je možné připojit rozšířené programy BPF do síťových zásuvek. Prozatím lze tuto funkci použít pouze pro shromažďování statistických údajů, v budoucích vývojových cyklech by měla být možná i další využití.
• Nový ovladač „ipvlan“ umožňuje vytváření virtuálních síťových zařízení pro propojení kontejnerů. Je navržen tak, aby dobře pracoval se jmennými prostory sítě. Ovladač ipvlan je podobný stávajícímu ovladači macvlan, ale své multiplexování zvládá na vyšší úrovni v zásobníku.
• Implementace RAID5 a RAID6 souborového systému Btrfs konečně obsahuje podporu pro vyčištění a výměnu disků.
• Bylo sloučeno systémové volání execveat(). Jako jiná systémová volání „at“ použije popisovač souboru pro adresář, který má být použit jako výchozí bod pro nalezení spustitelného souboru. Lze jej také použít ke spuštění binárního souboru přímo z otevřeného popisovače souboru, což umožňuje lepší implementaci systémového volání fexecve() používané v jiných unixových systémech.
• Systém souborů squashfs nyní podporuje kompresi pomocí algoritmu LZ4.
• Byl začleněn ovladač „AMD KFD“; poskytuje nové rozhraní pro grafické procesory pro negrafické použití (např. GPGPU).
• I přes některé stížnosti v e-mailových diskusích byl kód Androidu „binder“ byl přesunut z pracovního stromu do řádného jádra. Jde přece jen o rozhraní API, které bylo distribuováno v milionech systémů a musí být nějak podporováno.
• Podpora nového hardwaru zahrnuje:
  • Audio: Zvuková zařízení založená na řadičích I2S Intel Baytrail a Samsung Exynos7, zesilovačích NXP Semiconductors TFA9879 a čipů sluchátek Texas nástroje TS3A227E.
  • Grafika: Panely Sharp LQ101R1SX01, GPU Freescale i.MX, enkodéry R-Car DU HDMI, Analog Device ADV7511(W) a ADV7513 HDMI a GPU založené na SoC Rockchip.
  • IIO: Snímače vlhkosti a teploty Silicon Labs Si7013/20/21, snímače tlaku Bosch Sensortec BMP280 a proudové analogově-digitální převodníky Qualcomm SPMI PMIC.
  • Různé: Časovače watchdog Dallas/Maxim DS1374, řadiče Freescale Layerscape PCIe, modulární řadiče Qualcomm SPMI PMIC, modulární řadiče Intel Cherryview/Braswell, synchronní periferní flash rozhraní IMG, řadiče sériové řídicí sběrnice IMG I2C, řadiče Amlogic Meson I2C, zařízení Amlogic Meson SPI flash řadiče, zařízení „komunikační kanál platformy“ ACPI, hodiny v reálném čase IBM OPAL, rozhraní IBM PowerNV OPAL IPMI, řadiče IPMI připojené pomocí sběrnice SMBUS, vnitřní UART TI OMAP, hodiny generátoru (pracovní) Xilinx Clocking Wizard a 4kanálové řadiče LED TI LP8860.
  • Sítě: Čipy ethernetových přepínačů Marvell 88E6352 a síťové přepínače Rocker.
  • USB: Řadiče zařízení Broadcom USB3.0, PHY STMicroelectronics MIPHY28LP a USB PHY Marvell Berlin.
  • Video4Linux: Video mosty DVBSky S950 V3, interní tunery Montage M88RS6000, demodulátory Panasonic MN88472 a MN88473 a přijímače IR dálkového ovládání Amlogic Meson.

Mezi změny viditelné pro vývojáře jádra patří:

• Kód správy paměti x86 nyní plněji využívá režimy modulu tabulky atributů stránky (PAT), které nabízejí současné procesory. Tato změna konkrétně umožňuje použití vyrovnávací paměti write-through.
• K dispozici je nové API, které umožňuje řadičům získat informace o vlastnostech z ACPI nebo ze stromu zařízení, aniž by musely vědět, který je používán. Krátký přehled nových výzev viz tento zápis a tento zápis pro související rozhraní použitelné, pokud není přítomna žádná struktura device.
• Subsystém virtio zaznamenal spoustu práce, aby byl v souladu se standardem virtio 1.0.
• Subsystém I2C může nyní povolit linuxovému systému, aby se choval jako slave I2C, pokud řadič sběrnice tento režim podporuje. Dokumentace neexistuje, ale máme slíbeno, že se objeví před koncem cyklu.
• Subsystém GPIO nyní může měnit hodnoty více výstupů GPIO současně – samozřejmě, pokud to hardware podporuje. Seznam přírůstků API, které tuto funkcionalitu podporují, najdete v dokumentaci změn v horní části tohoto zápisu.
• Pole owner bylo vypuštěno ze struct platform_driver, což vedlo k rozsáhlým změnám v celém stromu, kde bylo nutno odstranit jeho používání.
• Do jádra byla přidána podpora trasovacího mechanismu ARM „Coresight“. Informace o tomto subsystému a popis práce s ním najdete v souboru Documentation/trace/coresight.txt.
• Do vrstvy přímého vykreslování byla přidána podpora atomického nastavení režimu; tato funkce umožňuje nastavit více parametrů grafického režimu v jediné atomické operaci. Přehled novinek najdete v tomto zápisu sloučení. Jednou z důležitých věcí, které stále chybí, je skutečné volání ioctl(), které má funkci poskytovat do uživatelského prostoru; ta pravděpodobně přijde ve verzi 3.20 spolu s podporou dalších ovladačů.

Jádro má jako vždy širokou škálu přispěvatelů. I když je často těžké poznat věk přispěvatelů podle jejich předložených oprav, editor LWN je přesvědčen, že tato oprava je první od čtyřletého chlapce, která se dostala do jádra.

V tomto bodě byla většina velkých stromů (od přispěvatelů všech věkových kategorií) zahrnuta, takže lze očekávat, že rychlost změn v hlavním stromu se zpomalí. To znamená, že začleňovací okno pravděpodobně zůstane otevřené do 21. prosince. Shrnutí v příštím týdnu bude zahrnovat poslední opravy, které jsou do verze 3.19 zahrnuty z vývojového cyklu.

Uživatelské jmenné prostory a setgroups()

Již v listopadu jsme se dívali na opravu, která by umožnila neprivilegovaným procesům vypustit skupiny z jejich pověření. Po odeslání opravy brzy vyšlo najevo, že v některých případech vede odstranění skupiny ke zvýšení oprávnění; tato oprava nebyla dále uplatňována. Ale bylo také prokázáno, že neprivilegovaný uživatel může již odstranit skupiny využitím uživatelských jmenných prostorů. Chvíli to trvalo, ale vývojář jmenných prostorů Eric Biederman sestavil sadu oprav, o které doufá, že tuto zranitelnost uzavře.

Členství ve skupině lze použít k omezení oprávnění několika způsoby. Seznamy řízení přístupu mohou explicitně zablokovat přístup k prostředkům na základě členství v určité skupině. Ale je to ještě jednodušší: pokud jsou bity ochrany souboru nastaveny na „zákaz přístupu skupiny“, proces patřící do této skupiny bude zablokován, i když je celý soubor jinak přístupný všem. V obou případech může schopnost odstranit skupinu umožnit procesu přístup k prostředku, který by mu jinak byl odepřen.

V současných jádrech je použití funkce setgroups() ke změně členství ve skupině privilegovaná operace. Neprivilegované procesy ji tedy nemohou použít, aby se zbavily nevhodných členství ve skupině. Ale proces spuštěný v rámci uživatelského jmenného prostoru je privilegovaný uvnitř daného jmenného prostoru, takže volání setgroups() bude úspěšné. Je snadné napsat malý program, který používá funkci clone() k vytvoření podřízeného procesu v uživatelském jmenném prostoru a má podřízené volání setgroups(), které odstraní členství ve všech doplňkových skupinách. Tato zranitelnost zvýšení úrovně oprávnění dostala označení CVE-2014-8989.

Ericova oprava tohoto problému začíná zákazem použití funkce setgroups() v rámci uživatelského jmenného prostoru, dokud není mapování ID skupiny nastaveno pro tento jmenný prostor. Toto mapování je vytvořeno pomocí zápisu souboru gid_map do adresáře proc tohoto procesu; podrobnosti o fungování mapování souborů viz tento článek. Další systémová volání orientovaná na ID uživatele nebo skupiny vyžadují existenci mapování dříve, než uspějí; toto omezení má nyní také funkce setgroups().

Největší část opravy přidává pro každý proces do adresáře /proc nový řídicí soubor nazvaný setgroups. Zápis řetězce „deny“ do tohoto souboru zakáže systémové volání setgroups() výhradně v rámci jmenného prostoru obsahující relevantní proces. Je požadována funkčnost CAP_SYS_ADMIN, aby náhodné procesy nemohly zakázat funkci setgroups() ve jmenném prostoru nejvyšší úrovně; proces v rámci vlastního uživatelského jmenného prostoru má opět oprávnění (standardně) a může tuto změnu úspěšně provést. Pokud je funkce setgroups() vypnuta, nelze ji znovu povolit v tomto jmenném prostoru nebo v některém z jejích potomků. Do souboru setgroups lze také zapsat pouze před nastavením mapování ID skupiny.

A navíc neprivilegovaný proces může změnit pouze mapování ID–skupina jmenného prostoru, pokud byla funkce setgroups() zakázána. Jediné, co neprivilegovaný proces může udělat s mapováním ID–skupina je namapovat vlastní ID primární skupiny na stejné ID v nadřazeném jmenném prostoru; neprivilegovaný proces nemůže přemapovat své doplňkové skupiny. Pokud je tedy nastavena tato sada omezení, v podstatě je nemožné (1) zahrávat si s mapováním při odstranění skupin nebo (2) vůbec volat funkci setgroups() bez oprávnění.

Pokud privilegovaný proces vytvoří uživatelský jmenný prostor, může nastavit libovolné mapování pro ID skupiny a odmítnout vypnutí funkce setgroups(). To by umožnilo odstraňování skupin uvnitř jmenného prostoru, ale vzhledem k tomu, že proces je již privilegovaný, by to mohl udělat stejně.

Konečným výsledkem této práce by mělo být zavření chyby způsobené tím, že je možné odstranit skupiny v rámci uživatelského jmenného prostoru. Ale upozorňuje na jedno z nebezpečí, která přicházejí s územím uživatelského jmenného prostoru: i když se zdá možné omezit oprávnění v rámci uživatelského jmenného prostoru, vždy se můžou vyskytnout nějaká překvapení jako toto, které se skrývá v zákoutích systému. Může ale chvíli trvat, než si budeme moct být opravdu jistí, že všechna tato překvapení byla odhalena a že neprivilegované vytvoření uživatelských jmenných prostorů je skutečně bezpečné povolit.

Eric požádal Linuse, aby tyto změny zahrnul do vývojového cyklu verze 3.19; k tomu došlo v době vydání tohoto dílu. Opravy byly také označeny jako stabilní pro backporting, takže by nakonec měly být k dispozici v sadě aktualizací stabilních verzí.

Nástroje: Tisk bez diskuse