Jaderné noviny – 8. 7. 2011: Sandbox, aneb filtry seccomp

18. 7. 2011 | Jirka Bourek | Jaderné noviny | 3173×

Obsah

• Aktuální verze jádra: 3.0-rc6
• Citáty týdne: Alan Cox, Andrew Morton, Linus Torvalds a další
• Seccomp filtry: žádná jasná cesta kupředu

Aktuální verze jádra: 3.0-rc6

Současné vývojové jádro je 3.0-rc6 vydané 4. července. Obsahuje nový isci ovladač od Intelu, který přidává výrazný kus kódu, ale jinak se jedná o jednoduché opravy. Blíží se to k bodu, kdy si myslím, že bychom měli prostě vydat 3.0, byl poměrně klid a opravy nejsou nijak výrazně zajímavé. Detaily vizte v kompletním changelogu.

Stabilní aktualizace: během minulého týdne žádné nevyšly a žádné se v době psaní tohoto článku nerevidují.

Citáty týdne: Alan Cox, Andrew Morton, Linus Torvalds a další

-- Alan Cox

-- Andrew Morton

-- Thomas Gleixner

-- Arnd Bergmann

-- Linus Torvalds

Seccomp filtry: žádná jasná cesta kupředu

napsal Jake Edge, 7. července 2011

Patche, které rozšiřují funkcionalitu seccomp („secure computing“, bezpečné vykonávání kódu) poletují okolo hlavní řady dva roky, ale dostat se do ní se jim nedaří. Mnoho projektů má zájem rozšířený seccomp používat, ale patche samotné se dostaly do bezvýchodné situace. Jsou tu konfliktní představy o tom, jak by se tato vlastnost měla přidat, a není jasné, která možnost bude akceptovatelná pro všechny relevantní správce. Máme tedy užitečnou vlastnost bez jasné cesty do jádra, což je pro někoho nepochybně frustrující.

Když jsme se před více než dvěma lety poprvé dívali na seccomp sandbox, Adam Langley zaslal patche, které by procesu (a jeho potomkům) umožnily omezit systémová volání, která může provést. Cílem je umožnit procesu uzavřít se do sandboxu tím, že si může zvolit, která systémová volání jsou k dispozici, místo toho, aby byl omezen na natvrdo nastavená systémová volání (read(), write(), exit() a sigreturn()), jak to umožňuje existující implementace seccomp. Podnětem pro Adamovy patche bylo poskytnout jednodušší mechanismus pro omezení procesu webového prohlížeče Chromium – a umožnit odstranění poměrně složitého sandboxu, který Chromium v Linuxu používá nyní.

V té době Ingo Molnár naznačil, že rozšířené seccomp by bylo mnohem užitečnější s filtrováním ve stylu ftrace. Nápad jako takový nebyl všeobecně přijat a seccomp nečinně leželo, dokud ho v dubnu neoživil Will Drewry. Will přijal Ingovy návrhy a implementoval verzi seccomp, která umožňovala povolit, zakázat nebo filtrovat systémová volání jednoduchými výrazy (např. sys_read: (fd == 0)).

I když Ingo byl tímto krokem potěšen, nemyslel si, že zachází dost daleko, a navrhl, aby se místo prctl(), které používá současné seccomp, použilo rozhraní podobné perfu. Měl poměrně široce zaměřené nápady, jak aktivněji použít události výkonnosti [perf events] tak, aby to vedlo k lepším bezpečnostním řešením v jádře, než jaká nabízí existující přístup s linuxovými bezpečnostními moduly [Linux Security Modules, LSM]. Ani tento nápad nebyl přijat všeobecně, zejména vývojáři LSM jím nebyli okouzleni.

Will nicméně implementoval ukázkový patch tak, jak to navrhl Ingo. To vedlo ke stížnostem z poměrně překvapující strany, protože jak Peter Zijlstra, tak Thomas Gleixner naprosto nesouhlasili s použitím perfu v aktivní roli. Jejich odpovědi nenechaly žádný prostor pro kompromisy, protože Peter, který je společně s Ingem jedním ze správců perfu, řekl, že on i Thomas dají NAK každému a všem patchům, které by rozšířily perf/ftrace kamkoliv za roli pasivního pozorovatele.

To všechno vedlo Willa, který se v tu chvíli musel cítit jako někdo polapený mezi dvěma mlýnskými kameny, k návratu k sadě patchů, která podle všeho měla největší podporu: použít filtry ve stylu Ftrace/perf, ale zachovat prctl() rozhraní, které v současnosti používá seccomp. Linus Torvalds vyjádřil svoji skepsi, že by to mělo nějaké reálné použití, ale Will naznačil, jak by ji použilo Chromium, a několik dalších vývojářů se vyslovilo pro rozšíření seccomp s tím, že QEMU, Linuxové kontejnery [Linux containers, LXC] a další věci by tuto vlastnost využily také. Tato podpora společně s vyřešením několika dalších technických záležitostí byla dostatečná k tomu, aby Linus své námitky stáhl. Jak se ale dá uhodnout, Ingo stále s tímto přístupem není spokojen.

Když koncem června Will znovu zaslal sadu patchů a zeptal se, jak dál, Ingo poznamenal, že na jeho námitky není reagováno: V současnosti tlačíš na 'filtrovací engine', nikoliv na (mnohem) jednotnější přístup s 'filtry událostí'. Will se ale snaží najít střední cestu mezi potřebami uživatelů, požadavky ostatních správců a Ingovy požadavky, což je obtížné až nemožné:

Ingo je ale neústupný a tvrdí, že přístup s „filtrovacím engine“ je krátkozraký, jako důkaz citoval diffstat různých implementací:

     bitová maska (2009):  6 files changed,  194 insertions(+), 22 deletions(-)
filtrovací engine (2010): 18 files changed, 1100 insertions(+), 21 deletions(-)
  filtry událostí (2011):  5 files changed,   82 insertions(+), 16 deletions(-)

Jak ale Will upozornil, na ukázkovém prototypu je potřeba odvést ještě mnoho práce, než bude všechno kompletně vyřešené. Vzhledem k tomu, že daný přístup dostal několik NAK, odvedení veškeré práce nemá moc dobré vyhlídky. Will by chtěl, aby daná vlastnost byla k dispozici brzy a má obavy z toho, že práce na širších záležitostí ji významně zdrží, pokud se vůbec někdy dostane přes námitky: Pokud bude všechna ta ostatní práce předpokladem pro omezení systémových volání, bude velké štěstí, když něco uvidíme tento kalendářní rok, pokud vůbec za tu dobu dokážu napsat patche.

Inga to ale neodradilo a navrhl, aby se patch do jádra dostal přes strom, který spravuje:

Problém je v tom, že těch 5 % (tj. omezení systémových volání a sandbox) je ten kus, který by Will a ostatní rádi viděli v jádře. Ingo tedy nabízí poměrně velký kus práce, který by nakonec mohl tu „zajímavou“ část ponechat venku na mraze. Ingo možná věří, že může překonat námitky Petera Zijlstry a Thomase Gleixnera, ale Will takovým optimistou může být jenom těžko. Problém popsal tak, jak ho vidí on:

Peter i Thomas se této diskuze neúčastnili, takže je těžké říci, co si myslí. Dokud se ale neobjeví žádné náznaky, že mírní svůj odmítavý přístup, není dobrý nápad věřit, že si něco rozmysleli.

Je to problém, který jsme již dříve viděli, nová vlastnost je do určité míry držena jako rukojmí s požadavkem, aby byl vyřešen větší problém. To bylo diskutováno na Jaderném summitu 2009, kde došlo ke shodě že takové požadavky by pro příště měly být pouze doporučením a ne nutností. V tomto případě Ingo požaduje odvedení větší práce jenom tím, že nemá zájem přijmout kód přes strom -tip, pokud nevyřeší větší problém.

Není jasné, kudy se věci budou ubírat dál. Will řekl, že se to zkusí udělat tak, jak požaduje Ingo (ale jestli moje jediná šance, jak zařídit, aby to bylo přijato, je sdílet kód s perfem a vytvořit nové ABI, pak tuto práci odložím do doby, kdy se s něčím takovým budu schopen vypořádat), ale to může trvat ještě dlouho. V současnosti má několik projektů zájem tuto vlastnost používat.

Pokud návrat k verzi s bitovou masku těmto projektům bude stačit, je možné pokusit se dostat ji do jádra přes jiný strom (např. strom security). Ingo by bezpochyby měl námitky, ale pokud se za tento požadavek postaví dost uživatelů, může to být rozumný přístup. Vzniklo by tím ABI, které by bylo nutné do budoucna udržovat, což je jednou z Ingových námitek, ale pro Chromium a ostatní by to vyřešilo problémy.

Steven Rostedt navrhl prodiskutovat rozšíření seccomp v říjnu na Jaderném summitu, z čehož by mohla vzejít cesta kupředu. Je pravděpodobné, že všechny zainteresované strany budou přítomny, na rozdíl od Linux Security summitu, který se bude konat společně s Linux Plumbers Conference v září a který byl navržen jako alternativa. I když diskuze z očí do očí může pomoci, těžko věřit tomu, že vyřeší neshodu o aktivním vs. pasivním perfu. Na druhou stranu by mohl nějaké stanovisko zaujmout Linus – to by k vyřešení této záležitosti mohlo pomoci hodně.

Nástroje: Tisk bez diskuse