日本黄色一级经典视频|伊人久久精品视频|亚洲黄色色周成人视频九九九|av免费网址黄色小短片|黄色Av无码亚洲成年人|亚洲1区2区3区无码|真人黄片免费观看|无码一级小说欧美日免费三级|日韩中文字幕91在线看|精品久久久无码中文字幕边打电话

當(dāng)前位置:首頁(yè) > 嵌入式 > Linux閱碼場(chǎng)

宋寶華:為了不忘卻的紀(jì)念,評(píng)Linux 5.13內(nèi)核(上集)

時(shí)間:2021-09-23 15:42:09
關(guān)鍵字: 內(nèi)核   
手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]5.14-rc6了,看起來(lái)5.14也快發(fā)布了。而我5.13的總結(jié)還沒(méi)有寫(xiě)出,我早覺(jué)得有寫(xiě)一點(diǎn)東西的必要了,這雖然于搬磚的碼農(nóng)毫不相干,但在追求上進(jìn)的工程師那里,卻大抵只能如此而已。為了不忘卻的紀(jì)念,我們列出5.13內(nèi)核的10個(gè)激動(dòng)人心的新特性。上集先談4個(gè):AppleM1的初始M...

5.14-rc6了,看起來(lái)5.14也快發(fā)布了。而我5.13的總結(jié)還沒(méi)有寫(xiě)出,我早覺(jué)得有寫(xiě)一點(diǎn)東西的必要了,這雖然于搬磚的碼農(nóng)毫不相干,但在追求上進(jìn)的工程師那里,卻大抵只能如此而已。為了不忘卻的紀(jì)念,我們列出5.13內(nèi)核10個(gè)激動(dòng)人心的新特性。上集先談4個(gè):

  1. Apple M1的初始

  2. Misc cgroup

  3. Landlock安全模塊

  4. 系統(tǒng)調(diào)用的堆棧隨機(jī)化


Apple M1的初始支持


5.13最爆炸性的新聞無(wú)非是初始的Apple M1支持,但是然并卵,實(shí)用性幾乎為0。因?yàn)?,已?jīng)合入的patch非常類(lèi)似于SoC bringup的初級(jí)階段:

  • 帶earlycon支持的UART (samsung-style) 串口驅(qū)動(dòng)

  • Apple中斷控制器,支持中斷、中斷親和(affinity )和IPI (跨CPU中斷)

  • SMP (通過(guò)標(biāo)準(zhǔn)spin-table來(lái)支持)

  • 基于simplefb的framebuffer驅(qū)動(dòng)

  • Mac Mini的設(shè)備樹(shù)

這樣一個(gè)東西,是沒(méi)法用的,發(fā)燒友玩玩可以,但是我們感激并欣賞Hector Martin “marcan”領(lǐng)導(dǎo)的Asahi Linux項(xiàng)目開(kāi)了一個(gè)這樣的好頭。但是,在Apple M1上面跑Ubuntu啥的,近期、中期和長(zhǎng)期的選擇還是用Parallels虛擬化技術(shù)比較好。


Misc cgroup

眾所周知,cgroup具備一個(gè)強(qiáng)大的控制CPU、內(nèi)存、I/O等資源在不同的任務(wù)群間進(jìn)行分配的能力。比如,你通過(guò)下面的命令,限制A這個(gè)群的CFS調(diào)度類(lèi)進(jìn)程,最多只能耗費(fèi)20%CPU

這個(gè)世界上的絕大多數(shù)資源都是可以進(jìn)行抽象的,比如屬于cpuacct、cpumemory、blkio、net_cls什么的,但是,總有一些不同于常人的人,他們既不是男人,也不是女人,而是“妖如果有了仁慈的心”的人。Linux內(nèi)核的驅(qū)動(dòng)子系統(tǒng)多達(dá)100多個(gè),但是還是有極個(gè)別驅(qū)動(dòng)不屬于這100多類(lèi)中的任何一類(lèi),于是在drivers下面有個(gè)misc

現(xiàn)在內(nèi)核碰到了類(lèi)似的問(wèn)題,它的資源要進(jìn)行配額控制,但是不屬于通用的類(lèi)型,而是:

  • Secure?Encrypted Virtualization (SEV) ASIDs

  • SEV - Encrypted State (SEV-ES)?ASIDs

這些有限的?ASIDs用于在AMD平臺(tái)上,進(jìn)行虛擬機(jī)內(nèi)存加密,不能歸于現(xiàn)有cgroup的任何一類(lèi)。那么,咱們加個(gè)misc類(lèi)的cgroup吧,于是Misc?control-group controller5.13內(nèi)核誕生了。這再次證明了,不要重新造輪子,但是你可以在現(xiàn)有的輪子里面放一個(gè)“雜交”輪子。Misc cgroup允許進(jìn)行一些特殊資源的控制,透過(guò)3個(gè)接口完成。

  • misc.capacity描述資源的能力(只讀),比如:

$ cat misc.capacityres_a 50res_b 10
  • 透過(guò)misc.current描述當(dāng)前資源的占用(只讀),比如:

$ cat misc.currentres_a 3res_b 0
  • 透過(guò)misc.max設(shè)置這個(gè)cgroup最多只能使用多少資源(可讀可寫(xiě)),比如:

# echo res_a 1 > misc.max同志們,有了這個(gè)misc cgroup的支持,以后咱們的阿貓阿狗資源限制,也可以往里面塞了。它相當(dāng)于開(kāi)了一道門(mén)。

?

Landlock安全模塊

曾經(jīng)有一個(gè)真誠(chéng)的patch擺在我面前,但是我沒(méi)有珍惜,發(fā)了V1被人懟了后就放棄了,等到失去的時(shí)候才后悔莫及,塵世間最痛苦的事莫過(guò)于此,如果上天可以給我一個(gè)機(jī)會(huì)再來(lái)一次的話(huà),我會(huì)對(duì)那個(gè)patch說(shuō)我要繼續(xù)迭代發(fā)!如果非要在這個(gè)迭代的次數(shù)上加上一個(gè)期限,我希望是一百遍。5.13內(nèi)核,最勵(lì)志的事情無(wú)疑是,"Landlock" Lands In Linux 5.13 !在迭代了超過(guò)5年之后,安全組件landlock終于合入了Linux內(nèi)核,這份始于2016年的愛(ài)情,終于有了一個(gè)美好的結(jié)局。為此,Linux內(nèi)核doc的維護(hù)者,LDD3的作者之一Jonathan Corbet發(fā)文指出:Kernel development is not for people who lack persistence; changes can take a number of revisions and a lot of time to make it into a mainline release。文章鏈接:

https://lwn.net/Articles/859908/

所以,沒(méi)有耐力、不能持之以恒,想一夜暴富的人,真地不適合做kernel開(kāi)發(fā)。Landlock LSM主要給非特權(quán)進(jìn)程提供安全沙盒的能力,比如你可以對(duì)一個(gè)普通進(jìn)程,施加自定義的文件系統(tǒng)訪(fǎng)問(wèn)控制策略。

它的操作原理是,先創(chuàng)建一個(gè)規(guī)則集ruleset,比如,如下的ruleset就是涉及到文件的讀、寫(xiě)、執(zhí)、讀DIR、寫(xiě)DIR等:

ruleset對(duì)用戶(hù)以文件描述符fd的形式存在,再次證明了“一切都是文件”。接下來(lái),我們可以透過(guò)這個(gè)fd,向這個(gè)ruleset里面添加rule,比如我們添加一個(gè)/usr目錄的“讀”規(guī)則,這樣進(jìn)程就不能寫(xiě)/usr了:

我們把這個(gè)ruleset施加起來(lái)讓它生效:

想要體驗(yàn)的童鞋可以用這個(gè)例子啟動(dòng)你的進(jìn)程,它設(shè)置好ruleset后,會(huì)去call exec啟動(dòng)命令行參數(shù)指定的程序:

https://github.com/landlock-lsm/linux/blob/landlock-v34/samples/landlock/sandboxer.c

LL_FS_RO環(huán)境變量是可讀文件的列表,LL_FS_RW環(huán)境變量是可讀寫(xiě)文件的列表,運(yùn)行方法:


LL_FS_RO=”只讀路徑”?\LL_FS_RW=”可寫(xiě)路徑”?\sandboxer??./a.outa.out是你的想要安全沙盒的程序。

在下已經(jīng)一睹為快,/home/baohua下面創(chuàng)建2個(gè)目錄1,2,然后創(chuàng)建/home/baohua/1/1/home/baohua/2/12個(gè)文件,限制第一個(gè)目錄只讀:

童鞋們看明白了嗎?我用sandboxer去啟動(dòng)cat,2個(gè)文件都是成功的。但是,去啟動(dòng)echo,/home/baohua/1/1是不允許寫(xiě)的,但是/home/baohua/2/1是可以寫(xiě)的。實(shí)際上,/home/baohua/1/1和/home/baohua/2/1并沒(méi)有絲毫的不同。landlock在發(fā)揮作用了!


系統(tǒng)調(diào)用的堆棧隨機(jī)化

這是一項(xiàng)安全增強(qiáng),它允許對(duì)系統(tǒng)調(diào)用發(fā)生時(shí),內(nèi)核使用的堆棧添加一個(gè)隨機(jī)偏移。這給基于stack的攻擊增加了難度,因?yàn)?span>stack攻擊通常要求stack有個(gè)固定的layout?,F(xiàn)在每次系統(tǒng)調(diào)用,stacklayout都變化的話(huà),黑客就比較捉摸不定了。比如ARM64主要修改了invoke_syscall()這個(gè)函數(shù):

這個(gè)東西聽(tīng)起來(lái)很高大上,但是它的原理可能簡(jiǎn)單地你想哭,show me the code:

它實(shí)際上就是每次系統(tǒng)調(diào)用把offset隨機(jī)化一下,然后通過(guò)__builtin_alloca()stack里面分配一些stack空間,于是導(dǎo)致stack的位置移動(dòng)。我們可以寫(xiě)個(gè)非常簡(jiǎn)單的應(yīng)用程序來(lái)驗(yàn)證原理:

然后編譯

gcc 1.c -fno-stack-protector -O0運(yùn)行:

親愛(ài)的,你有沒(méi)有發(fā)現(xiàn),10次函數(shù)調(diào)用的時(shí)候,每次stack臨時(shí)變量的位置都不一樣?。??


本文未完待續(xù),您的贊賞將鼓勵(lì)我的原創(chuàng)

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀(guān)點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請(qǐng)聯(lián)系該專(zhuān)欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請(qǐng)及時(shí)聯(lián)系本站刪除。
換一批
延伸閱讀

LED驅(qū)動(dòng)電源的輸入包括高壓工頻交流(即市電)、低壓直流、高壓直流、低壓高頻交流(如電子變壓器的輸出)等。

關(guān)鍵字: 驅(qū)動(dòng)電源

在工業(yè)自動(dòng)化蓬勃發(fā)展的當(dāng)下,工業(yè)電機(jī)作為核心動(dòng)力設(shè)備,其驅(qū)動(dòng)電源的性能直接關(guān)系到整個(gè)系統(tǒng)的穩(wěn)定性和可靠性。其中,反電動(dòng)勢(shì)抑制與過(guò)流保護(hù)是驅(qū)動(dòng)電源設(shè)計(jì)中至關(guān)重要的兩個(gè)環(huán)節(jié),集成化方案的設(shè)計(jì)成為提升電機(jī)驅(qū)動(dòng)性能的關(guān)鍵。

關(guān)鍵字: 工業(yè)電機(jī) 驅(qū)動(dòng)電源

LED 驅(qū)動(dòng)電源作為 LED 照明系統(tǒng)的 “心臟”,其穩(wěn)定性直接決定了整個(gè)照明設(shè)備的使用壽命。然而,在實(shí)際應(yīng)用中,LED 驅(qū)動(dòng)電源易損壞的問(wèn)題卻十分常見(jiàn),不僅增加了維護(hù)成本,還影響了用戶(hù)體驗(yàn)。要解決這一問(wèn)題,需從設(shè)計(jì)、生...

關(guān)鍵字: 驅(qū)動(dòng)電源 照明系統(tǒng) 散熱

根據(jù)LED驅(qū)動(dòng)電源的公式,電感內(nèi)電流波動(dòng)大小和電感值成反比,輸出紋波和輸出電容值成反比。所以加大電感值和輸出電容值可以減小紋波。

關(guān)鍵字: LED 設(shè)計(jì) 驅(qū)動(dòng)電源

電動(dòng)汽車(chē)(EV)作為新能源汽車(chē)的重要代表,正逐漸成為全球汽車(chē)產(chǎn)業(yè)的重要發(fā)展方向。電動(dòng)汽車(chē)的核心技術(shù)之一是電機(jī)驅(qū)動(dòng)控制系統(tǒng),而絕緣柵雙極型晶體管(IGBT)作為電機(jī)驅(qū)動(dòng)系統(tǒng)中的關(guān)鍵元件,其性能直接影響到電動(dòng)汽車(chē)的動(dòng)力性能和...

關(guān)鍵字: 電動(dòng)汽車(chē) 新能源 驅(qū)動(dòng)電源

在現(xiàn)代城市建設(shè)中,街道及停車(chē)場(chǎng)照明作為基礎(chǔ)設(shè)施的重要組成部分,其質(zhì)量和效率直接關(guān)系到城市的公共安全、居民生活質(zhì)量和能源利用效率。隨著科技的進(jìn)步,高亮度白光發(fā)光二極管(LED)因其獨(dú)特的優(yōu)勢(shì)逐漸取代傳統(tǒng)光源,成為大功率區(qū)域...

關(guān)鍵字: 發(fā)光二極管 驅(qū)動(dòng)電源 LED

LED通用照明設(shè)計(jì)工程師會(huì)遇到許多挑戰(zhàn),如功率密度、功率因數(shù)校正(PFC)、空間受限和可靠性等。

關(guān)鍵字: LED 驅(qū)動(dòng)電源 功率因數(shù)校正

在LED照明技術(shù)日益普及的今天,LED驅(qū)動(dòng)電源的電磁干擾(EMI)問(wèn)題成為了一個(gè)不可忽視的挑戰(zhàn)。電磁干擾不僅會(huì)影響LED燈具的正常工作,還可能對(duì)周?chē)娮釉O(shè)備造成不利影響,甚至引發(fā)系統(tǒng)故障。因此,采取有效的硬件措施來(lái)解決L...

關(guān)鍵字: LED照明技術(shù) 電磁干擾 驅(qū)動(dòng)電源

開(kāi)關(guān)電源具有效率高的特性,而且開(kāi)關(guān)電源的變壓器體積比串聯(lián)穩(wěn)壓型電源的要小得多,電源電路比較整潔,整機(jī)重量也有所下降,所以,現(xiàn)在的LED驅(qū)動(dòng)電源

關(guān)鍵字: LED 驅(qū)動(dòng)電源 開(kāi)關(guān)電源

LED驅(qū)動(dòng)電源是把電源供應(yīng)轉(zhuǎn)換為特定的電壓電流以驅(qū)動(dòng)LED發(fā)光的電壓轉(zhuǎn)換器,通常情況下:LED驅(qū)動(dòng)電源的輸入包括高壓工頻交流(即市電)、低壓直流、高壓直流、低壓高頻交流(如電子變壓器的輸出)等。

關(guān)鍵字: LED 隧道燈 驅(qū)動(dòng)電源
關(guān)閉