LWN: 限制DMA访问区域!

最新推荐文章于 2023-02-02 15:32:39 发布
最新推荐文章于 2023-02-02 15:32:39 发布
阅读量454 收藏
点赞数 1
文章标签: java linux 操作系统 python 大数据
原文链接:https://lwn.net/Articles/841916/
版权

关注了就能看到更多这么棒的文章哦~

Restricted DMA

By Jonathan Corbet
January 7, 2021
DeepL assisted translation
https://lwn.net/Articles/841916/

系统加固(system hardening) 中的一个关键就是要限制访问内存。这也包括要阻止内核对内存的访问,大多数时候都不应该允许访问或修改系统中的绝大部分内存区域。不能被访问的内存区域,就不会被攻击者读取或修改了。不过在许多系统中,这些访问限制并不能约束外设行为,它们可以轻松地使用直接内存访问(DMA)来访问到绝大多数系统内存区域。最近发布的 restricted DMA patch set 的目的就是通过限制 DMA 操作可以访问到的内存区域,从而减少暴露给错误或恶意的设备动作的攻击面。

DMA 允许 device 直接读取或写入系统内存。除非是那些非常慢速的设备,否则要想让 device 能拥有合理的 I/O 性能,就需要 DMA。通常情况下,内核会负责管理 DMA 操作,设备驱动程序来分配缓冲区(buffer),并告知 device 在这些缓冲区上执行 I/O 操作,一切都能按预期那样正常工作起来。但如果驱动程序或硬件包含错误的话,DMA 传输就有可能覆盖一些不相关的内存区域,导致系统损坏,用户会有抱怨。而那些恶意的(或本身已经被入侵的)硬件可以使用 DMA 来破坏这个硬件所连接的系统,使用户收到更大伤害。多年来,这种类型的攻击已经有很多例子了(https://blade.tencent.com/en/advisories/qualpwn/)。

解决这个问题的方法之一,就是在 device 和 memory 之间加一个 I/O 内存管理单元(IOMMU, I/O memory-management unit)。内核对 IOMMU 进行设置,从而允许对特定的内存区域的访问,然后 IOMMU 就能确保 device 访问到超出这个区域的地址。但并不是所有的系统都配备了 IOMMU,它们大多都是在台式机、数据中心等大型处理器中存在。移动设备通常不会带 IOMMU。

由 Claire Chang 发布的 restricted DMA patch set,就是试图对没有 IOMMU 的系统上的 DMA 操作进行限制。它建立在一个古老的、相对少用到的内核机制上,也就是 "swiotlb",它指的是 "software I/O translation lookaside buffer"。swiotlb 最初创建出来是为了便于操作那些 DMA 操作中有很烦人的一些限制的设备的,比如有的 DMA 无法访问到系统中所有的内存区域。swiotlb 使用的核心机制是 bounce buffering:在 device 能够访问的区域分配一个缓冲区 buffer,然后需要在 I/O 缓冲区和这个 bounce buffer 之间进行数据复制。复制数据显然会减慢 I/O 操作的速度,但这比完全不使用 DMA 要好得多。

Chang 的 patch set 增强了 swiotlb 的功能,允许它分配特定范围的物理内存,并将其与指定的设备关联起来。这个范围可以在 devicetree 中使用新增的 restricted-dma-pool 这个 "compatible" property 来设置。所有牵涉到该设备的 DMA 操作都将使用这个内存范围来进行弹跳(这就是 bounce buffer 名称的由来),从而有效地将 device 与系统其他部分所看到的实际 I/O buffer 区域隔离开来。

使用这种 bounce-buffering 机制本身就有一些好处。编者过去写过设备驱动程序,虽然我绝不会犯这样的错误,但确实听到过有驱动程序的中 bug 导致 device DMA 读写了系统中错误的地址的情况。如果内存缓冲区随机地被写坏,并且无法固定复现这种问题,那么就可能会导致数据损坏、痛苦的 debug 过程、以及需要借酒浇愁了(同样,编者可没有犯过这种错误)。将 device 使用的 buffer 与内核使用的 buffer 分开,restricted DMA 改动就是通过这种方法来减轻这类 bug 带来的许多痛苦经历。

读者可能会想要知道,使用 swiotlb 是如何保护系统不受恶意或被入侵的 device 的影响的,毕竟这些设备很可能会根本无视软件中将其 DMA 活动限制指定区域的这些设置的。答案是,无法阻止这种攻击——至少,仅靠这个功能是无法实现的。实际上这个改动的目的是将 restricted DMA 与 trusted firmware(https://www.trustedfirmware.org/about/) 搭配起来,trusted firmware 能够将 DMA 操作限制在特定的内存范围内,这些限制是在启动之时(或启动之前)就设置好的,内核无法更改。这样一来,trusted firmware 就可以限制设备只访问指定区域了,而 restricted DMA 机制则会让所有的 DMA 操作都要经过该区域。这两种机制共同配合,就可以达到在不使用系统 IOMMU 的情况下也能限制 DMA 随意访问内存的目的了。

这里需要不少 setup 工作,,因此这种功能在大多数通用系统(general-purpose)上都不会很快得到应用。但在那些受到严格控制的系统上(比如例如移动设备)还是很希望能得到阻止恶意设备访问的功能的。目前还不清楚这个 restricted DMA patch 是否当前的版本就足以达到进入 mainline 的标准了,但它很可能迟早会被合入 Linux kernel。

全文完
LWN 文章遵循 CC BY-SA 4.0 许可协议。

欢迎分享、转载及基于现有协议再创作~

长按下面二维码关注,关注 LWN 深度文章以及开源社区的各种新近言论~

LinuxNews搬运工
关注
linux cpu gonvor,LWNLinux 5.1使用TEO governor来代替cpuidle menu governor
weixin_29331115的博客
05-13 503
Improving idle behavior in tickless systemsDecember 28, 2018, This article was contributed by Marta RybczyńskaCPU处理器在实际执行代码的时候,很多时间其实是没有什么事情要做的,会在等待device和timer的中断。此时可以切换到idle mode,关掉内部大部分电路,停掉不再用的clo...
宋宝华: 关于DMA ZONE和dma alloc coherent若干误解的彻底澄清
Linux阅码场
01-22 6022
作者简介宋宝华,他有10几年的Linux开发经验。他长期在大型企业担任一线工程师和系统架构师,编写大量的Linux代码,并负责在gerrit上review其他同事的代码。Barry Song是Linux的活跃开发者,是某些内核版本的最活跃开发者之一(如https://lwn.net/Articles/395961/ 、https://lwn.net/Articles/429912/),也曾是一AR
踩内存:总的来说,是访问了不应该访问的内存地址。尤其在C指针中。可以访问不合法的内存。
Neil驱动的博客
03-29 618
现象:挂死,程序跑的异常,数据被串改大致原因:数组越界,字符串操作越界,栈指针操作越界,操作了释放掉了的指针,多线程时序对资源保护控制不当,内存管理异常,使用了其他地方的内存定位方法:1. 类...
没有IOMMU的DMA操作-swiotlb(转)
gjioui123的博客
02-02 1648
因为DMA受32位访问限制,所以只能访问0x0000_0000到0xFFFF_FFFF地址空间的内存,再加上DMA需要访问连续的物理内存,故coherent pool,cma,buddy,swiotlb必须保证在0x0000_0000~0xFFFF_FFFF以内的连续物理空间。我们知道DMA映射有两种方式,一种是一致性映射 dma_alloc_coherent,一种是流式映射 dma_map_single (dma_map_sg可以映射多个dma buffer)。
Linux x86_64/arm 分配大块物理连续内存
zjy900507的博客
04-05 2111
Linux x86/arm 分配大块物理连续内存 实现一个PCIe设备驱动,需要分配几个128M的物理连续内存作为DMA的缓冲区,受制于伙伴系统最多分配4M,所以需要使用到cma机制,来分配大块的物理连续内存实现通过DMA搬运数据: 硬件平台:x86_64 软件平台:CentOs7.4 linux-3.10.0 linux在x86下支持cma 根据网上的资料看,cma目前应该只能支持x86或者...
mem_init
wuye110的专栏
10-15 2717
mem_init() marks the free areas in the mem_map and tells us how much memory is free. 即释放内存到伙伴系统,对一些内存方面的全局变量设置 首先我们需要明白mem_map作用,其是描述所有的物理内存采用的struct page结构的数组的基指针。比如说,对于4GB的内存来说,如果一个页定义为4KB,即2^12字节。
linux Coherent dma 实现
zf1575192187的专栏
04-02 827
linux Coherent dma 实现 原创 shenhuxi_yu 最后发布于2019-05-21 01:15:37 阅读数 285 收藏 分类专栏: LINUX ARM C语言 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/shenhuxi_yu/article/details...
lwn-newsletter:订阅 Linux 每周档案的工具
06-07
lwn-时事通讯 订阅 Linux 每周档案的工具。 纯娱乐。 从。 配置文件示例 category=Kernel # Support Kernel, Security and Distributions receiver=xxx@gmail.com password=xxx server=smtp.gmail.com port=587 ...
lwn2email
02-21
lwn2email 自动将最新的仅订阅LWN问题通过电子邮件发送到电子邮件地址(例如,电子阅读器)。 此工具要求用户具有LWN订阅。 如果您认为该脚本有用,请通过购买订阅来支持LWN。 我将通过不接受允许脚本无需订阅即可...
LWN帮手「LWN helper」-crx插件
03-15
使LWN稍微容易阅读 这个扩展名为LWN.net上的其他文章的所有内部链接添加了标题mouseover。在导航之前知道您正在浏览的文章。 支持语言:English
dma-swiotlb.rar_swiotlb
09-22
Contains routines needed to support swiotlb for ppc.
直接内存访问(DMA)
liuyuanqing2010的专栏
07-03 3337
1. 什么是DMA直接内存访问是一种硬件机制,它允许外围设备和主内存之间直接传输它们的I/O数据,而不需要系统处理器的参与。使用这种机制可以大大提高与设备通信的吞吐量。 2. DMA数据传输有两种方式引发数据传输:第一种情况:软件对数据的请求1. 当进程调用r
空指针 野指针 内存泄漏 内存溢出
heneyT的博客
08-13 954
空指针(Null): 指针初始化 Null 与为初始化的值不同;野指针(Wild Pointer): 指针指向的地址是随机的 出现的删除或申请访问受限内存区域的指针; 内存泄漏(Memory Leak): 程序中已经分配的内存 未释放或者无法释放,造成系统内存的浪费,导致程序运行减慢甚至系统崩溃等后果; 分配一个内存块并使用其中未经初始化的内容; 释放一个内存块,但继续引用其中的内容; 子函数中分配的内存空间在主函数出现异常中断时、或主函数对子函数返回的信息使用结束时,没有对分配的内存进行释放.
郝健: Linux内存管理学习笔记-第1节课
Linux阅码场
04-21 1084
摘要MMU与分页机制内存区域(内存分ZONE)LinuxBuddy分配算法CMA(连续内存分配器)  0.    课前阅读宋宝华:CPU是如何访问到内存的?--MMU最基...
指针_三种方式访问成员、动态内存分配【就当做笔记了】*、动态链表
natural_Caduceus
06-23 1469
指针的三种访问成员的方式 参照自P304,谭浩强《C程序设计》第四版   #include<stdio.h> int main() { struct stu//自己定义的stu类型 { int num1 = 1; int num2 = 2; int num3 = 3; }member; stu *p = &member; //member 即 成员名...
linux内存管理笔记(十九)----内存组织
奇小葩
06-07 939
通过linux内存管理笔记(十七)----linux内存模型,我们知道了linux的内存模型,通过上bootm,我们梳理了Node, Zone, Page Frame的整个流程,本章就来整理其关系和数据结构之间的关系。 1. 基本概念 NUMA(Non-Uniform Memory Access,非统一内存访问)和UMA(Uniform Memory Access,统一内存访问): NUMA是从处理器对内存访问速度不同的结构 UMA是处理器与所有内存的访问速度相同的结构 结点Node: 从1个CPU访
Linux内存管理 —— 内核态和用户态的内存分配方式
热门推荐
落尘纷扰的专栏
03-06 1万+
1. 使用buddy系统管理ZONE 我的这两篇文章buddy系统和slab分配器已经分析过buddy和slab的原理和源码,因此一些细节不再赘述。 所有zone都是通过buddy系统管理的,buddy system由Harry Markowitz在1963年提出。buddy的工作方式我就不说了,简单来说buddy就是用来管理内存的使用情况:一个页被申请了,别人就不能申请了。通过/proc/b...
linux驱动之DMA
飞天鱼
12-29 7619
转载自:https://www.jianshu.com/p/e1b622234d13 一、前言 在 嵌入式Linux 的内核及驱动中,DMA 常常被人提起。我们也许清楚它的原理且很明白它非常重要,但在某种程度上,对于 DMA 的使用者来说,我们一般使用其接口,而很少去了解整个 DMA 的运作方式。那么本文就从头到尾,简单地说一下 DMA 吧注意:本文对DMA的概念不做讲述,请各位读者自行了解DMA的概念。 二、正文 2.1 高端内存 2.1.1 内核虚拟内存 在了解 DMA 之前,我们需要先了解
小张学linux内核:六.内存管理子系统
qq_40036519的博客
06-21 1265
今天我们开始啃内存管理子系统 伙伴系统 slab分配器 虚拟内存 内核空间映射,用户空间内存映射,用户进程内存结构mm_struct;vma;驱动中mmap到用户空间的映射。 页表pgd,pmd,pte管理,页请求
https://lwn.net/Articles/813350/
最新发布
06-12
对不起,由于链接指向的是Linux Weekly News(LWN)的文章,我无法直接查看或解析网页内容。不过,通常情况下,LWN这类技术网站会报道Linux相关的新闻和技术文章,可能涉及的主题包括内核更新、新工具发布、编程实践...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值