Jaderné noviny - 12. 3. 2008

12. 5. 2008 | Jirka Bourek | Jaderné noviny | 2970×

Obsah

• Aktuální verze jádra: 2.6.25-rc5
• Citáty týdne: Andrew Morton, Richard Stallman
• Lepší alokátor DMA paměti
• Jak použít terabyte RAM
• GCC 4.3.0 odhaluje chybu v jádře

Aktuální verze jádra: 2.6.25-rc5

Aktuální vývojové jádro je 2.6.25-rc5, vydané 9. března. Linus řekl: Velikost -rc patchů se konečně začíná zmenšovat, ale stále máme příliš mnoho vyčnívajících hlášení o regresích. Zkrácený changelog najdete v oznámení, více detailů v kompletním changelogu.

Proud patchů do gitového repozitáře hlavní řady neustává; většinou jsou to opravy, ale od vydání 2.6.25-rc5 Linus také začlenil ovladače jmb38x pro hostitelské řadiče JMicron MemoryStick, zobrazovače Varitronix VL-PS-COG-T350MCQB-01, řadiče PATA Compact Flash na RouterBoard 500 a odstranil x86 quicklist.

Současná verze -mm stromu je 2.6.25-rc5-mm1. Nedávné změny v -mm zahrnují množství změn paměťové politiky, přepracování kódu předávajícího signály, jednoduchou sledovací infrastrukturu a spoustu pročišťovacích patchů.

Během minulého týdne nebyly vydány žádné stabilní verze.

Citáty týdne: Andrew Morton, Richard Stallman

-- Andrew Morton

-- Richard Stallman

Lepší alokátor DMA paměti

Jak každý autor ovladačů k zařízením ví, hardware může být pěkně nepříjemný. V prvních dnech Linuxu periférie připojené přes ISA sběrnici způsobovaly hodně nepříjemností kvůli tomu, že nebyly schopné adresovat více než 24 bitů. To prakticky znamená, že ISA zařízení nemůže provádět DMA operace s pamětí nad 16 MB. PCI sběrnice toto omezení odstranila, ale po nějakou dobu bylo docela mnoho "PCI" zařízení, které byly jenom minimálně modifikované verze původní periférie pro ISA; spousta z nich zachovávala limit 16 MB.

Aby mohl uspokojit potřeby těchto zařízení, Linux dlouho udržoval DMA paměťovou oblast [DMA memory zone]. Ovladače, které potřebují alokovat paměť z této oblasti, specifikují ve svém požadavku GFP_DMA. Kód pro správu paměti se obzvláště stará o to, aby paměť v této oblasti byla dostupná a požadavky na DMA mohly být uspokojeny. Tímto způsobem systém může poskytnout rozumnou jistotu, že bude k dispozici paměť pro provedení DMA takovým způsobem, který vyhoví zvláštním potřebám takto postižených zařízení.

Jediný problém je, že zařízení, která mají 24bitový limit adresování, se už dnes téměř nevyskytují, takže DMA oblast bývá většinou nevyužita. Na druhou stranu jsou zařízení, která mají jiné druhy omezení. Mnoho periférií zvládne pouze 32bitové adresování, takže jejich DMA buffery musejí být ve spodních 4 GB paměti. Je ale také podmnožina, která má podivnější omezení - například 30 nebo 31 bitové adresování. Jaderná DMA knihovna poskytuje ovladačům způsob, jak oznámit svůj druh zahanbujícího omezení, ale kód pro správu paměti ve skutečnosti nijak nepomáhá DMA vrstvě při vytváření alokací, které těmto omezením vyhovují. Proto ovladače pro takováto zařízení musejí použít DMA oblast (která nemusí být na všech architekturách k dispozici) nebo doufat, že normální oblast paměti bude dostačovat.

Andi Kleen se rozhodl vyřešit tuto situaci novým alokátorem DMA paměti. Jeho řešením bylo vyjmout kus paměti z kompetencí svého jaderného kolegy a spravovat ho zcela jiným způsobem, čímž by se vytvořila rezervní zásoba pro DMA alokace. Výsledek je poněkud mimo normální algoritmy správy paměti v Linuxu, ale na úkol, na který se zaměřuje, může být přizpůsoben lépe.

Nový "mask" alokátor si při bootu rezervuje nastavitelnou oblast nízké paměti. Alokace z této oblasti se provádějí oddělenými voláními, kde jádrem API jsou:

struct page *alloc_pages_mask(gfp_t gfp, unsigned size, u64 mask);
void __free_pages_mask(struct page *page, unsigned size);

void *get_pages_mask(gfp_t gfp, unsigned size, u64 mask);
void free_pages_mask(void *mem, unsigned size);

alloc_pages_mask() vypadá podobně jako dlouho používaná funkce alloc_pages(), ale jsou tu důležité rozdíly. Parametr size udává požadovanou velikost alokace místo hodnoty "order" používané ve funkci alloc_pages() a mask popisuje rozsah adres použitelných pro tuto alokaci. Ačkoliv mask vypadá jako bitová maska, je to spíše hodnota adresy, kterou by alokovaná paměť měla mít; "díry" by v masce neměly smysl.

Volání alloc_pages_mask() se nejprve pokusí alokovat požadovanou paměť pomocí běžného alokátoru, který je v Linuxu k dispozici, protože předpokládá, že rezervovaná DMA paměť je obzvlášť omezený zdroj. Pokud tato alokace selže například proto, že není k dispozici fyzicky souvislá oblast dostatečné velikosti, alokátor ukousne z rezervované DMA paměti. Nicméně pokud alokace uspěje, alokovaná paměť musí být otestována oproti maximální povolené adrese - vzpomeňme, že běžný alokátor nemá žádnou podporu pro alokaci pod zvolenou adresou. Takže pokud je vrácená paměť mimo rozsah, musí být okamžitě uvolněna a místo toho se použije rezervovaná zásoba.

Tato rezervovaná oblast není spravována jako zbytek paměti. Místo seznamu kamarádů [buddy lists], které udržuje slab alokátor, má DMA alokátor jednoduchou bitovou mapu, která popisuje, které stránky jsou k dispozici. Obvykle bude procházet skrz celou rezervu a alokovat nejbližší dostupnou oblast dostatečné velikosti. Pokud ale tato oblast bude nad limitem adresy, alokátor se vrátí zpět k nižší části rezervované oblasti a alokuje paměť odtud. Díky tomu, že DMA alokace mají tendenci trvat jen krátkodobě, dá se očekávat, že použitelný blok bude k dispozici buď hned, nebo v blízké budoucnosti.

Další rozdíl je v tom, že na rozdíl od slab alokátoru DMA alokátor nezaokrouhluje velikost alokace na nejbližší vyšší mocninu dvou. DMA alokace mohou být relativně velké, takže zaokrouhlení by mohlo vést k významné interní fragmentaci a plýtvání pamětí.

O úroveň výš Andi přidal novou formu paměťové oblasti [mempool], která používá DMA alokátor:

mempool_t *mempool_create_pool_pmask(int min_nr, int size, u64 mask);

Tato oblast se bude chovat jako normální mempool s tím rozdílem, že všechny alokace budou pod limitem předávány jako mask. Tyto oblasti jsou využívány blokovou vrstvou, kde alokace pro DMA musí uspět.

Dalo by se říct, že rezervovat velký kus dolní paměti pro tento účel znamená redukovat celkové množství paměti dostupné systému - obzvlášť když si DMA alokátor stejně vyzobává paměť v normální oblasti, pokud to jde. Nicméně cena není tak velká, jak by se zdálo. Tyto patche odstraňují starou DMA oblast, která byla doteď prakticky spravována jako rezervovaná (a často nepoužitá) oblast paměti. Některé 64bitové architektury si navíc odkládají významný úsek (okolo 64 MB) dolní paměti pro swiotlb, což jsou v podstatě přeskakující zásobníky [bounce buffers], které se používají k impedančnímu přizpůsobení mezi buffery v horní paměti (>4 GB) a zařízeními, které nezvládnou více než 32bitovou adresu. S Andiho sadou patchů se swiotlb také alokuje z DMA oblasti a nepotřebuje svou vlastní. Celkové množství paměti vyhrazené pro zvláštní účely se tedy příliš nemění; ve skutečnosti by se dokonce mohlo zmenšit.

Pokud bude tento patch začleněn, pro většinu autorů ovladačů se tím mnoho nezmění. DMA vrstva již ovladačům umožňuje specifikovat masku adresy pomocí dma_set_mask(); s DMA alokátorem bude tato maska lépe dodržována. Jedna změna, která by mohla několik ovladačů ovlivnit, je ještě méně významná - GFP_DMA příznak alokace paměti časem zmizí. Každý ovladač, který tento příznak dosud používá, by měl místo toho nastavit správnou masku.

Zaslání těchto patchů zatím nevyvolalo žádnou větší diskuzi. Mlčení samozřejmě neznamená souhlas, ale zdá se, že proti této změně se nechystá žádný větší odpor.

Jak použít terabyte RAM

Ještě jsme se nedostali do stavu, kdy jsou systémy - dokonce i high-endové stroje - dodávány s terabytem nainstalované paměti. Nicméně produkty jako ty od Violin Memory dávají jasně najevo, že ten den se blíží; již teď se dá koupit stroj s 500 GB paměti. Takže se zdá, že by stálo zato položit otázku: když už někdo utratil nezanedbatelnou sumu, aby si koupil takový stroj, co bude dělat s tou pamětí - obzvlášť teď, když vývojáři Firefoxu začali vážně pracovat na odstranění memory leaků?

Možná je čas na nějaké divoké nápady. A není lepší zdroj pro takové nápady než Daniel Phillips, jehož Ramback patch tento týden rozdmýchal nemalou diskuzi. Jádrem jeho nápadu je, že celá paměť se změní na ramdisk, ke kterému je připojeno nonvolatilní zařízení. Za normálních okolností veškeré I/O operace programů zahrnují pouze ramdisk a díky tomu jsou vcelku rychlé (Každé malé znásobení výkonnosti 25× opravdu pomáhá.) Na pozadí se potom jádro stará o synchronizaci dat z ramdisku na permanentní úložiště. Synchronizační proces je ale více zaměřen na propustnost I/O operací, než na poskytnutí záruk na to, kdy přesně se konkrétní blok dat dostane na plotny disku.

Ramback se díky tomu liší od normálního blokového I/O cachování, které více způsoby provádí jádro. Místo toho uchovává celé zařízení v paměti, takže při běhu v ustáleném stavu by aplikace nikdy neměly narazit na zpoždění I/O disku. Když aplikace zavolá fsync(), k očekávaném výsledku (blokování, dokud data nejsou fyzicky zapsána na disk) nedojde. Souborové systémy se pečlivě starají o to, aby seřadily operace tak, aby se minimalizovalo riziko ztráty dat při pádu; Ramback to všechno ignoruje a zapisuje data na fyzické disky v takovém pořadí, jaké považuje za nejlepší. Jak to Daniel řekl, "nejzákladnějším principem" designu Rambacku je, že od zálohujícího ukládání se neočekává, že by během normálního fungování reprezentovalo konzistentní stav souborového systému. Jenom ramdisk potřebuje udržovat konzistentní stav a dal jsem si pozor na to, aby to bylo zajištěno. Vy potřebujete jenom věřit své baterii, Linuxu a hardwaru, na kterém běží. Kterému z nich nevěříte?

Ramback zahrnuje nouzový režim, který se pokusí ve spěchu synchronizovat data na disk v případě, že by UPS oznámila, že bylo ztraceno napájení. Nezdá se však, že by to všichni považovali za dostatečné. V následující diskuzi si nikdo nestěžoval na zisky výkonu, které by Ramback mohl poskytnout. Objevila se ale spousta obav o integritu dat; zdá se, že mnoho lidí nevěří svým bateriím, hardwaru a Linuxu. To vedlo diskuzi do slepé uličky, kdy mnoho vývojářů prohlásilo, že Ramback by byl pro nasazení příliš riskantní a Daniel se jejich obavami odmítl zabývat s tím, že je to FUD.

FUD nebo ne, tyto obavy bude Ramback pravděpodobně překonávat těžko. Mezitím Daniel hledá lidi, kteří by mu pomohli kód otestovat, což ale samo o sobě přináší další problémy:

Ovladač je připraven, aby ho dostatečně odvážný vývojář mohl otestovat. Mnoha způsoby může dojít k deadlocku a livelocku a abyste ho mohli odstranit, budete muset rebootovat. Nicméně by mělo být možné vymámit z něj dostatečně spolehlivý běh pro benchmarky a až se ustálí, tak bude pekelně úžasný.

Zatím jsou zprávy od dostatečně kurážných testerů řekněme ojedinělé. Jonathan Corbet, autor tohoto článku, se obává, že toto dílo může potkat stejný osud jako mnoho ostatních Danielových patchů: přestože možná obsahuje brilantní nápady a skvělé programování, nepřežije setkání s ošklivým skutečným světem. Nicméně potřebujeme lidi, kteří přemýšlejí o tom, jak budou počítačové systémy fungovat v budoucích letech; doufejme, že Daniel nepřestane.

GCC 4.3.0 odhaluje chybu v jádře

Změna v nedávném vydání GCC spojená s chybou v jádře vytvořila nepříjemnou situaci s možnými bezpečnostními důsledky. GCC změnilo některé předpoklady o příznacích v x86 procesoru v souladu s ABI standardem, což ale může vést k poškození paměti u programů přeložených GCC 4.3.0. Nikdo nepřišel se způsobem, jak nedostatku zneužít - alespoň zatím, ale zjevně se jedná o problém, který je potřeba řešit.

Problém se točí okolo x86 směrového příznaku [direction flag] DF, který určuje, jestli operace s blokem paměti pracují v paměti popředu nebo pozpátku. Hlavní použití tohoto příznaku je podpora pro kopírování překrývajících se oblastí paměti, kde je práce v paměti pozpátku nutná proto, aby data, která mají být zkopírována, nebyla předtím přepsána. Programátor Debianu Aurélien Jarno oznámil problém do linux-kernel 5. března, kdy na něj přišel, když překládal Steel Bank Common Lisp (SBCL) novým překladačem.

Nejnovější vydání GCC verze 4.3.0 předpokládá, že DF je při vstupu do každé funkce vynulován (tj. paměťové operace postupují v dopředném směru), jak to specifikuje ABI (které můžete, což je poněkud úsměvné, najít na sco.com [PDF]). To se bohužel v Linuxu střetává s obsluhami signálů, které jsou volány - nesprávně - s takovém stavem příznaku, jaký byl, když se signál objevil. Důsledkem toho jeden stavový bit procesu v uživatelském prostoru, který zrovna běžel, prosákne do obsluhy signálu.

To je chyba, která má sama o sobě zdánlivě minimální dopad. Před verzí 4.3 by GCC vygenerovalo instrukci cld (vynuluj direction flag) před provedením jakékoliv inline operace s pamětí nebo řetězcem, takže takové operace by začaly ze známého stavu. Ve verzi 4.3 GCC spoléhá na ABI, že direction flag je před vstupem do funkce vynulován, což znamená, že jádro to musí zajistit před zavoláním obsluhy signálu. V současnosti to nedělá, ale malý patch to opravuje.

Okno zranitelnosti je malé, ale v SBCL bylo pozorováno. Sled událostí, který vede k poškození paměti, je následující:

• program v uživatelském prostoru provede operaci (například memmove()), která nastaví DF
• ve stejném procesu se objeví signál
• jádro vyvolá obslužnou rutinu
• obslužná rutina udělá memmove(), u kterého si myslí, že proběhne v dopředném směru
• paměť je zkopírována v obráceném pořadí, což vede k poškození

Není patrné, jak by se z této chyby mohlo stát porušení bezpečnosti, ale bylo by chybou předpokládat, že nemůže. Jiné chyby v jádře jako například ta, která umožnila nedávný vmsplice() exploit, také vypadaly jako poškození paměti, ale nakonec se ukázalo, že byly horší. U této záležitosti s DF se může ukázat, že z bezpečnostního hlediska je neškodná, ale nemělo by se na to spoléhat.

Nyní je otázka: co s tím. Je zjevné, že jádro by nemělo dovolit prosáknutí stavu DF do obsluhy signálů bez ohledu na to, co dělá GCC. Je zajímavé všimnout si, že toto chování je úplně stejné (DF není při vstupu do obsluhy signálu vynulováno) v BSD jádrech, což některé vedlo k tvrzení, že nesprávné je ABI a GCC by se mělo vrátit ke svému původnímu chování. Solaris jádra nulují DF před zavoláním obsluhy signálu. Tento problém existoval 15 let; GCC doteď vždy vygenerovalo kód, který fungoval správně na jádrech, která se ABI neřídila.

Část problému tkví v tom, že je značné množství nainstalovaných jader, která jsou náchylná k tomuto problému, ale jenom pokud je nainstalováno GCC 4.3. Tato verze GCC zatím není velmi rozšířená, takže názor je takový, že GCC by se mělo vrátit k svému původnímu chování teď, než se dostane do distribucí. Až se rozšíří opravená jádra, "správné" chování může být obnoveno. Lidé od GCC to tak ale nevidí, takže je nejisté, co se stane.

Je pravda, že distributoři mohou ovládat, jaké jádro a jakou verzi GCC distribuují, to ale nejsou jediné cesty, jak mohou být nainstalovány buď GCC nebo programy překládané pomocí GCC. Je to v podstatě přinejmenším tikající časovaná bomba pro náhodné poškození paměti. Řešení takových hlášení o chybě může být obtížné a časově náročné. Zatímco nové chování GCC je správné a chyba je v jádře, bylo by velmi užitečné změnu stáhnout nebo ji možná zapínat pomocí argumentu na příkazové řádce pro ty, kdo si jsou jistí, že jejich binárky poběží na opatchovaných jádrech. Některé diskuze na gcc-devel konferenci naznačují, že GCC 4.3.0.1 nebo 4.3.1 se blíží.

Nástroje: Tisk bez diskuse