Jaderné noviny – 9. 6. 2011: Podpora snímků v ext4

20. 6. 2011 | Jirka Bourek | Jaderné noviny | 4106×

Obsah

• Aktuální verze jádra: 3.0-rc2
• Citáty týdne: Al Viro, Ingo Molnár
• Problémy se snímky v ext4
• O vsyscallech a vDSO

Aktuální verze jádra: 3.0-rc2

Současné vývojové jádro je 3.0-rc2 vydané 6. června. Byl relativní klid, i když aktualizace btrfs je o něco větší, než jsem doufal. Krom toho se jedná hlavně o opravy ovladačů, nějaké aktualizace ubifs a několik revertů regresí. Zkrácený changelog je v oznámení, detaily najdete v kompletním changelogu.

Stabilní aktualizace: v tomto týdnu žádné nevyšly a žádné se ani v době psaní tohoto článku nerevidují.

Citáty týdne: Al Viro, Ingo Molnár

-- Al Viro

-- Ingo Molnár

Problémy se snímky v ext4

napsal Jonathan Corbet, 8. června 2011

Patch pro souborový systém next3, který do souborového systému ext3 přidal snímky [snapshot], se objevil o něco málo víc než před rokem; v Jaderných novinách z dané doby se dočtete, že je potřeba tento patch posunout více k ext4, aby ho vůbec bylo možné začlenit. K této změně došlo a nedávné patche pro snímky v ext4 vypadají jako něco, co se blíží ke stavu, ve kterém by to šlo začlenit do hlavní řady. To vedlo k novým stížnostem, které by tento proces mohly poněkud zpomalit.

Jedna stížnost přišla od Josefa Basika:

Ve své odpovědi Amir Goldstein řekl, že jeho zaměstnavatel (CTERA Networks) chce tuto vlastnost v ext4. V produktech se to již dodává a btrfs stále není považován za dostatečně stabilní, aby se v daném prostředí použil.

Další obavy pocházejí ze začlenění takto velké vlastnosti do souborového systému, který má být stabilní a připravený pro produkční nasazení. Nikdo v tuto chvíli nechce zavléct do ext4 závažné chyby. Krom toho snímky aktuálně nefungují se všemi variantami formátu ext4 na disku. Mnoho kombinací vlastností ext4 v současnosti nefunguje dobře, což vede Erica Sandeena k obavě z toho, kam tento souborový systém míří:

Správce ext4 Ted Ts'o odpověděl se vzácným (na jadernou komunitu) přiznáním, že technické záležitosti nejsou vždy jediným rozhodujícím faktorem při rozhodování o začlenění vlastností:

Je to něco, z čeho mám občas obavy; a sdílím je s tebou. Zároveň je ale faktem, že jsme jako staří holandští mistři, kteří museli brát v úvahu preference svých patronů (tj. v našem případě lidí, kteří nám dávají výplatu )

V tomto případě si myslí, že mnoho lidí má o snímky zájem. Má obavy, že firmy jako CTERA by mohly přestat ext4 používat, pokud ho nepůjde upravit, aby plnil jejich potřeby. Jeho plán je tedy snímky začlenit, až (1) budou patche dostatečně dobré a (2) bude se zdát, že existuje plán, jak vyřešit zbývající problémy.

O vsyscallech a vDSO

napsal Jonathan Corbet, 8. června 2011

Segmenty „vsyscall“ a „vDSO“ jsou dva mechanismy, které se používají pro zrychlení některých systémových volání v Linuxu. I když je jejich funkce stejná (poskytnout rychlý přístup k funkcionalitě, která nemusí běžet v jaderném (privilegovaném) režimu), jsou mezi nimi výrazné rozdíly. Nedávno se začalo mít za to, že vsyscall zjednodušuje útoky, takže byly sestaveny patche, které ho mají začít pomalu odstraňovat. Diskuze o těchto patchích ukazuje, že neshody o tom, jak komunita řeší bezpečnostní záležitosti, jsou stále stejně silné, jako vždy byly.

Oblast vsyscall je starší z obou mechanismů. Byla přidána jako způsob, jak vykonat specifická systémová volání, která nepotřebují žádná privilegia ke spuštění. Klasickým příkladem je gettimeofday(); všechno, co tato funkce potřebuje, je načíst jaderný náhled na to, kolik právě je. Existují aplikace, které gettimeofday() volají často a to až do té míry, že je musí zajímat každý kousek režie navíc. Aby se to vyřešilo, umožňuje jádro mapovat stránku obsahující aktuální čas v režimu pouze pro čtení do uživatelského prostoru; taková stránka také obsahuje rychlou implementaci gettimeofday(). Použitím virtuálního systémového volání může C knihovna poskytnout rychlé gettimeofday(), které se nikdy nepotřebuje přepnout do jaderného režimu.

Vsyscall má nějaká omezení, mezi jinými je tam místo jenom na pár virtuálních systémových volání. Když se na tato omezení narazilo, jaderní vývojáři vytvořili flexibilnější implementaci vDSO. Rychlý pohled na současný systém ukáže, že se stále používají obě:

$ cat /proc/self/maps
...
7fffcbcb7000-7fffcbcb8000 r-xp 00000000 00:00 0            [vdso]
ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0    [vsyscall]

Klíč k současné diskuzi lze vidět, když stejný příkaz spustíme znovu a porovnáme si výstupy:

$ cat /proc/self/maps
...
7fff379ff000-7fff37a00000 r-xp 00000000 00:00 0            [vdso]
ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0    [vsyscall]

Všimněte si, že oblast vDSO se přesunula, zatímco stránka vsyscall zůstává na svém místě. Pozice stránky vsyscall je pevná, je to součástí jaderného ABI, ale oblast vDSO – stejně jako většina oblastí v rozvržení paměti pro uživatelský prostor – má při každém namapování náhodnou polohu.

Znáhodňování rozvržení adresového prostoru je určitou obranou vůči bezpečnostním děrám. Útočník, který je schopen přepsat zásobník, může často zajistit, aby se funkce v cílovém procesu „vrátila“ na libovolnou adresu. S ohledem na to, co je na dané adrese za instrukci, může tento návrat způsobit téměř cokoliv. Zjevným příkladem je návrat do funkce system() v C knihovně; lze ji použít ke spuštění libovolného příkazu. Jestliže ale pozice C knihovny není známa, je pro exploit těžké až nemožné skočit na užitečné místo.

Ve stránce vsyscall není funkce system(), ale je tam několik strojových instrukcí, které volají systémová volání. S trochou hraní by tyto instrukce mohlo být možné použít při přepsání zásobníku tak, aby se zavolalo libovolné systémové volání s parametry, které nastavil útočník – což není žádoucí výsledek. Bylo by tedy hezké se stránky vsyscall zbavit – nebo ji alespoň umisťovat náhodně, aby se tomuto typu útoku zabránilo. Aplikace bohužel závisí na existenci a přesné pozici této stránky, takže nelze nic dělat.

Až na to, že Andrew Lutomirski přišel na něco, co by se dalo dělat: odstranit všechny užitečné instrukce ze stránky vsyscall. Jedna byla spojena se sysctl nastavením vsyscall64, ta byla užitečná jenom pro user-mode Linux (a nefungovala správně ani tam); jednoduše byla odstraněna. Další nebyly instrukce pro systémové volání jako takové: například pokud se v pravý okamžik skočilo do systémového času (a tedy když se vykonal jako kód), vypadal jako instrukce pro systémové volání. Aby se tento problém vyřešil, byly proměnné přesunuty do samostatné stránky, kde je zakázáno vykonávání kódu.

Zbytek kódu ve stránce vsyscall byl jednoduše odstraněn a nahrazen zvláštní zachycovací [trap] instrukcí. Když se aplikace pokusí zavolat funkci ve stránce vsyscall, jádro to zachytí a požadované virtuální systémové volání emuluje v jaderném režimu. Výsledkem je, že jaderné systémové volání emuluje virtuální systémové volání, které bylo vytvořeno, aby nebylo nutné volat jaderné systémové volání. Výsledkem je „vsyscall“, který trvá o zlomek mikrosekundy déle, ale – což je kritické – neporušuje existující ABI. V každém případě bude zpomalení možné pozorovat jenom v případě, že se aplikace bude pokoušet použít stránku vsyscall místo vDSO.

Současné aplikace by to většinou dělat neměly až na malý problém: glibc stále používá time() z vsyscall. V repozitáři glibc to bylo opraveno, ale tato oprava se k uživatelům nějakou dobu nemusí dostat; do té doby budou volání time() o něco pomalejší než dříve. Neměl by to být problém, ale protože jeden nikdy neví, dal Andy dohromady konfigurační volbu, která zachovává staré způsoby. Každý, kdo má obavy z režie emulované stránky vsyscall, může nastavit CONFIG_UNSAFE_VSYSCALLS a získá původní chování.

Nikdo neměl námitky vůči sadě patchů jako celku, ale Linusovi se vůbec nelíbilo to, jak byla pojmenována ta konfigurační volba; požadoval, aby byla pojmenována CONFIG_LEGACY_VSYSCALLS. A nebo ještě lépe aby změna byla provedena bezpodmínečně. To vedle k poměrně předvídatelné reakci od vývojáře PaX o tom, jak jaderná komunita ráda skrývá bezpečnostní problémy. Na to Linus řekl:

Postačí říci, že konverzace od té chvíle poměrně upadla; kdo má zájem, může vlákno sledovat následováním odkazů ve zprávách citovaných výše.

Z diskuze vzešel jeden užitečný poznatek a sice, že statická stránka vsyscall není ve skutečnosti bezpečnostní slabinou; je to jednoduše zdroj, který může útočníkovi zjednodušit zneužití slabiny někde jinde. Jestli tento aspekt činí danou stránku „nebezpečnou“ nebo jenom „zastaralou“ [legacy] budiž cvičením pro čtenáře. Tak jako tak je její odstranění považována za dobrý nápad i když by to mohlo vést k tomu, že v jádře zůstanou neopraveny skutečné bezpečnostní chyby; hádka je o pojmenování.

V době psaní tohoto článku nebyly konečné patche zaslány, ale podoba, kterou na sebe vezmou, bude poměrně jasná. Statická stránka vsyscall nebude existovat ve své současné podobě a aplikace, které ji stále používají, budou fungovat dál o něco pomaleji. Konfigurační volba určující toto chování může existovat, ale nemusí, ale každá distribuce, která bude obsahovat jádro s touto změnou (pravděpodobně 3.1 či novější), bude také mít C knihovnu, která se již nepokouší používat stránku vsyscall. A se štěstím bude zneužití slabin o něco těžší.

Nástroje: Tisk bez diskuse