LWN:让memfd支持 non-executable!

最新推荐文章于 2024-04-28 15:43:22 发布
最新推荐文章于 2024-04-28 15:43:22 发布
阅读量638 收藏
点赞数
文章标签: linux 网络 安全 web安全 运维
原文链接:https://mp.weixin.qq.com/s?__biz=Mzg2MjE0NDE5OA==&mid=2247487388&idx=1&sn=78cc29faf3887344eec319d4b887579e&chksm=ce0d1c35f97a9523a9f302730cfc3b1da2b5a385f62988d4a7e5606569a1fcbd26d42637aed9&scene=126&sessionid=0
版权

关注了就能看到更多这么棒的文章哦~

Enabling non-executable memfds

By Jonathan Corbet
December 19, 2022
DeepL assisted translation
https://lwn.net/Articles/918106/

memfd 接口是一个有点奇怪的功能,也是 Linux 特有的;最初是为了支持单个系统上多个合作进程之间的数据安全传递而开发出来了。此后,它又有了其他一些用途,但是当一些人知道了给 memfds 创建的内存区域实际上跟(几乎)所有其他的数据区域(memory region)不同,是设置了可执行权限 bit 的时候,可能仍然会感到惊讶。这为恶意攻击提供了便利;Jeff Xu 的这组 patch set 提出了对 memfd API 的补充,以弥补这个漏洞。

memfd 是通过调用 memfd_create()创建出来的,它返回的是一个指向该区域的文件描述符。这个描述符可以被当作一个普通的文件,因为可以用来做读写访问;它也可以被映射到一个进程的地址空间去。通常情况下,第一步是调用 ftruncate()来设置这个区域的 size;之后,可以被填充上数据,并传递给另一个进程。memfd 的一个有趣特点是,它们可以通过调用 fcntl()来 "sealed(密封起来)",这个 seal 操作之后,就不允许对存储的数据做任何进一步的改动了。seal 可以让接收者确信 memfd 的内容不会在操作过程中发生意外的变化。

在这个过程中,作为 memfd 的基础的虚拟文件在创建时就设置了可执行权限 bit;这就允许内存本身被映射为可执行状态的。这样就出现了内核和用户空间的开发者都越来越多地希望去避免的一种权限组合:write 和 execute 权限都被 enable 了。一个既可写又可执行的内存区域给了攻击者一个相对容易的方法来将自己的代码注入到目标进程中。事实上,Xu 在 patch 的 cover letter 中指出,memfd 区域已经被用于攻击 ChromeOS 系统。

人们可能会认为可以无条件地删除底层 memfd 文件的执行权限来应对。但这样以来,这就是对 ABI 的修改了,而且至少已经有了一个已知的(合法)需要可执行权限的 memfd 使用场景。runc 容器运行时(container runtime)就使用带有可执行权限的 memfd 来加载它要运行的容器的映像文件;该功能是为了应对 2019 年的另一个漏洞而添加的。因此,拥有可执行的 memfd 的能力必须保留。

不过,可执行的 memfd 不一定必须是默认行为,进程肯定可以选择创建不可执行的 memfd。 因此,Xu 的 patch set 就基于这个方向,通过为 memfd_create()添加了两个新 flag 来修改了 memfd API。

  • MFD_EXEC 会明确要求 memfd_create()创建一个有可执行权限的 memfd。这只是加强了当前的默认值,但默认值可以按照下面的描述来改变。

  • MFD_NOEXEC_SEAL 则相反,会创建一个没有可执行权限的 memfd,并应用一个 seal,防止这个设置被改变。因此,用这个 flag 创建的 memfd 将永远不会被执行,不管用户空间的攻击者如何努力。

新增了一个 fcntl()操作,F_SEAL_EXEC,对执行权限进行了 seal 封印,防止它在之后被改变。和所有的 seal 封印操作一样,这种改动无法在之后撤销。

这些 patch 还增加了一个新的 sysctl 开关,叫做 vm.memfd_noexec,是当前 PID namespace 特有的 local 开关;它控制着当受影响的进程在没有指定两个新 flag 的情况下创建一个 memfd 时,内核会怎么做。把这个开关设置为 0,会让 memfd_create()的行为表现为 MFD_EXEC 被设置了一样,这是当前缺省行为。把它设置为 1,则会导致 MFD_NOEXEC_SEAL 被设置,基本上就是默认关闭可执行权限。值为 2 会让任何没有明确提供 MFD_NOEXEC_SEAL 的 memfd_create()调用都失败,就完全禁用了可执行的 memfd。当然,默认值必须是 0,以避免破坏任何现有的应用程序。

如果在创建 memfd 时这两个 flag 都没有设置,那么新的代码会向 kernel log 报出 warning,希望能更新应用程序。Peter Xu 观察到,这可能会使系统日志中充斥着许多 warning 信息。经过讨论,大家同意每次启动只发出一次 warning。因此,可能需要启动好几次系统才能发现这个系统上所有需要 fix 的应用程序,但这被认为比无限制的打印 log 要好。

最后,Paul Moore 对为 memfd_create()增加的一个 security-module hook 的做法提出了质疑,因为没有对 security module 进行相应的修改来实际使用这个 hook。因此,这个 hook 有可能会被拿掉,等到有人想针对这个系统调用写一个 policy 的时候再提出来。除此之外,看起来这个系列 patch 应该已经没有什么合并阻碍了。

全文完
LWN 文章遵循 CC BY-SA 4.0 许可协议。

欢迎分享、转载及基于现有协议再创作~

长按下面二维码关注,关注 LWN 深度文章以及开源社区的各种新近言论~

format,png

LinuxNews搬运工
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
af_lwn::penguin: 用于 Tiny Tiny RSS 的 LWN.net 插件
06-07
af_lwn 小插件,用于提取提要项目的全部内容,包括仅限订阅者的内容。 如果您想提取仅限订阅者的内容, LWN_PASS在 config.php 中配置LWN_USER和LWN_PASS ,如下所示: define ( 'LWN_USER' , '<username>' );define...
使用FD_CLOEXEC实现close-on-exec,关闭子进程无用文件描述符
hunanchenxingyu的专栏
05-07 5626
通过fcntl设置FD_CLOEXEC标志有什么用?    close on exec, not on-fork, 意为如果对描述符设置了FD_CLOEXEC,使用execl执行的程序里,此描述符被关闭,不能再使用它,但是在使用fork调用的子进程中,此描述符并不关闭,仍可使用。   通过fcntl设置FD_CLOEXEC标志有什么用? close on exec, not on-
linux 匿名文件 memfd_create
一个追逐梦想的码农
04-16 6010
本专栏主要分享linux下并发编程相关知识,包括多进程,多线程,进程/线程间通信,并发同步控制,以及高并发下性能提升,请大家多多留言。本专栏已经分享共享内存,文件映射,匿名/命名管道,消息队列等四种进程间通信的方式,本文来介绍第五种方式memfd_create,而且非常特别,且看本文分解。
共享内存技术之memfd_create()
m0_56145255的博客
05-16 6220
文章目录前言跨进程分享文件描述符memfd_create函数介绍案例数据采集端数据接收端Makefile验证 前言 写这边博客的目的,在于对宋宝华老师的无线崇拜!在阅读了他的世界上最好的共享内存博客以后,正如原文所说,发现了一个尤物,不得已眼前一亮,让人把持不住。废话少说,直接上干货 跨进程分享文件描述符 以下文字均来自于宋宝华老师的共享内存博客 某年某月的某一天,人们发现,一个进程其实想访问另外一个进程的fd。当然,这只是目的不是手段。比如进程A有2个fd指向2片内存,如果进程B可以拿到这2个fd,其实
Linux 匿名文件之 O_TMPFILE, memfd
zhouguoqionghai的博客
05-31 2878
Linux 系统编程都在跟进程与文件打交道。 Linux 上创建文件描述符的接口 普通文件 open 信号,定时器,事件 signalfd, eventfd, timerfd_create 可进程间通信的特殊文件 shm_open, pipe, mkfifo, socket 监控文件事件的文件 inotify_init 内存文件 memfd_create 当然,还有 dup 及 fcntl 能用来复制文件描述符。 所有这些,跟文件系统有关的有 open, socket(Unix域socket),
DPDK memfd检测
redwingz的博客
10-30 372
在检测函数test_memfd_create中,使用系统调用memfd_create,参数flags指定MFD_HUGETLB(即RTE_MFD_HUGETLB),意味着在hugetlbfs文件系统中创建匿名文件。此信息在DPDK中输出,如下在DPDK函数eal_memalloc_init中,根据memfd_create函数的的执行结果,返回值为1时,表明memfd可用。参数flags还可指定要使用的hugetlbfs文件系统的页面大小,例如MFD_HUGE_2MB, MFD_HUGE_1GB等。
Linux四种共享内存技术(附源码):SystemV、POSIX mmap、memfd_create、dma-buf
RToax
11-20 5807
Linux 下的进程间通信:管道、消息队列、共享文件、共享内存》 《【共享内存】基于共享内存的无锁消息队列设计》 《File Sealing & memfd_create() | 文件密封和memfd_create()》 《Linux环境无文件渗透执行ELF:memfd_create、ptrace》 《利用ptrace和memfd_create混淆程序名和参数》 《宋宝华:世上最好的共享内存(Linux共享内存最透彻的一篇)》 先给出宋宝华老师的结论: 目录 共享内存的方式
宋宝华:世上最好的共享内存(Linux共享内存最透彻的一篇)上集
宋宝华
11-08 1万+
共享单车、共享充电宝、共享雨伞,世间的共享有千万种,而我独爱共享内存。早期的共享内存,着重于强调把同一片内存,map到多个进程的虚拟地址空间(在相应进程找到一个VMA区域),以便于CPU可以在各个进程访问到这片内存。现阶段广泛应用于多媒体、Graphics领域的共享内存方式,某种意义上不再强调映射到进程虚拟地址空间的概念(那无非是为了让CPU访问),而更强调以某种“句柄”的形式,让大家知道某一片视...
LWN帮手「LWN helper」-crx插件
03-15
使LWN稍微容易阅读 这个扩展名为LWN.net上的其他文章的所有内部链接添加了标题mouseover。在导航之前知道您正在浏览的文章。 支持语言:English
lwn-newsletter:订阅 Linux 每周档案的工具
06-07
lwn-时事通讯 订阅 Linux 每周档案的工具。 纯娱乐。 从。 配置文件示例 category=Kernel # Support Kernel, Security and Distributions [email protected] password=xxx server=smtp.gmail.com port=587 ...
LWN helper-crx插件
04-05
语言:English 使LWN稍微容易阅读 此扩展为所有内部链接添加了标题鼠标悬停在LWN.net上的其他文章。 在导航到该文章之前,请先了解该文章。
lwn2email
02-21
如果您认为该脚本有用,请通过购买订阅来支持LWN。 我将通过不接受允许脚本无需订阅即可工作的请求请求来尊重LWN。 该脚本在某种程度上取决于LWN的格式,如果进行更改,该脚本可能会中断。 但是,自从我在2013年...
memfd_create(2)
小猪爱拱地
01-05 2916
For 4 months now we’ve been hacking on a new syscall for the linux-kernel, called memfd_create. The intention is to provide an easy way to get a file-descriptor for anonymous memory, without requirin
linux下/dev/mem分析
热门推荐
做一个有技术追求的人
05-15 1万+
dev/mem: 物理内存的全镜像。可以用来访问物理内存。 /dev/kmem: kernel看到的虚拟内存的全镜像。可以用来访问kernel的内容。 /dev/mem 用来访问物理IO设备,比如X用来访问显卡的物理内存,或嵌入式中访问GPIO。用法一般就是open,然后mmap,接着可以使用map之后的地址来访问物理内存。这其实就是实现用户空间驱动的一种方法。 /dev/kmem 一般
File Sealing & memfd_create() | 文件密封和memfd_create()
RToax
11-20 1715
File Sealing & memfd_create() From: David Herrmann <[email protected]> To: linux[email protected] Subject: [PATCH 0/6] File Sealing & memfd_create() Date: Wed, 19 Mar 2014 20:06:45 +0100 Mess...
Ubuntu18.04编译Yocto:memfd_create重定义
weixin_42421766的博客
10-09 1978
/********************************************************************** ERROR: /mnt/hdd/home/yangzf/yocto/fsl-release-bsp/build-fb/tmp/work/x86_64-linux/qemu-native/2.5.0-r1/qemu-2.5.0/util/memfd.c:4...
LWN:GCC也支持BPF了!
Linux News搬运工
09-25 839
关注了就能看到更多这么棒的文章哦~BPF in GCCBy Jake EdgeSeptember 15, 2020LPC原文来自:https://lwn.net/Articles/831...
LWN:在memfd中附加安全保护功能!
Linux News搬运工
02-28 744
关注了就能看到更多这么棒的文章哦~Keeping secrets in memfd areasByJonathan CorbetFebruary 14, 2020原文来自:https:...
Linux』 第一章 基本操作指令(上)
最新发布
m0_54443558的博客
04-28 955
Linux 基本指令
翻译 https://lwn.net/Articles/203924/
05-26
该文章介绍了2006年Linux内核2.6.18版本的新特性。其中包括: 1.一种新的CPU调度器,完全重写了旧的调度器,提高了多处理器系统的性能。 2.增加了一个名为"Autofs4"的文件系统,它允许自动挂载文件系统。 3.添加了一个名为"Sysctl"的接口,这个接口可以通过/proc/sys目录访问,用于修改内核参数。 4.实现了一个名为"Per-CPU变量"的机制,使得多处理器系统在访问变量时可以避免竞争。 5.增加了对Intel VT和AMD-V虚拟化技术的支持。 6.引入了"Tickless"内核,可以减少系统占用CPU时间,从而提高系统效率。 总体来说,这些新特性增强了Linux内核的功能和性能,使得它在服务器和桌面环境中都能够更好地发挥作用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值