debug 内核自动加载模块事件及禁止用户加载内核模块配置

已于 2022-08-29 13:45:17 修改
阅读量848 收藏
点赞数
分类专栏: LINUNX KERNEL 文章标签: modprobe 内核自动加载模块 禁止用户加载模块 sysctl usermodehelper
于 2022-08-29 09:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Longyu_wlz/article/details/126566355
版权

今天在学习内核 sysctl 配置的时候看到模块加载的两个配置,觉得有些意思就来研究研究,没想到竟然又找到了【禁止用户加载内核模块】的一个新方法,在本文中记录一下。

备注:本文的示例代码测试环境为 openEuler 20.03 LTS 虚拟机。

kernel.modprobe 配置

默认配置:

kernel.modprobe = /sbin/modprobe

此配置用于指定内核自动加载模块时调用的用户态模块加载程序的绝对路径。

当内核主动请求加载某个模块时就会调用 kernel.modprobe 中配置的程序来尝试加载。例如,当用户态通过 mount 系统调用传递给内核一个未知的文件系统时,内核会使用用户态的辅助命令来自动加载目标文件系统模块,这个用户态的辅助命令将需要的模块插入内核中。

这一过程实际是通过【usermodehelper】功能实现的,我在 创建内核线程并通过内核线程调用用户态程序 这篇文章中曾经描述过这一个功能的使用。

如果我们需要定位内核自动加载模块的问题,可以编写一个新的内核模块加载命令(例如一个 shell 脚本的封装)并给 shell 脚本添加可执行程序,然后使用 systcl 将新的命令的绝对路径写入到 kernel.modprobe 配置中,这样当内核再次调用用户态程序加载模块时就会调用到新的命令。

当 kernel.modprobe 内容被清空时,内核自动加载模块的功能被关闭。内核既不会尝试执行一个 usermode helper 也不会调用 LSM 模块的 kernel_module_request hook 接口。

kernel.modprobe 修改示例

编写如下 modprobe 自定义脚本:

#!/bin/bash 
echo "$0 $@" >> /tmp/modprobe.log
exec /sbin/modprobe "$@"

此脚本将内核调用命令保存到 /tmp/modprobe.log 文件中,然后使用参数执行 /sbin/modprobe 程序。脚本路径保存为 /tmp/modprobe,执行如下命令添加可执行权限并修改 kernel.modprobe 的内容:

[root@openeuler]# chmod a+x /tmp/modprobe
[root@openeuler]# echo /tmp/modprobe > /proc/sys/kernel/modprobe

上面通过写入文件修改 kernel.modprobe,也可以执行 sudo sysctl -w kernel.modprobe="/tmp/modprobe"完成。

内核主动请求加载模块示例模块 demo

为了真实研究上述流程,我编写了如下示例 demo:

#include <linux/module.h>
#include <linux/moduleparam.h>
#include <linux/init.h>

#define STRING_LEN 32

struct module *module;

/* 
 * Variable for strings
 */
char module_name[STRING_LEN] = "nlmon";
module_param_string(module_name, module_name, STRING_LEN, S_IRUGO | S_IWUSR);

static int __init demo_init(void)
{
	printk(KERN_INFO "Kernel tries to insmod  %s module\n", module_name);

	request_module(module_name);

	if(!try_module_get(module)) {                                                                                                                                                                
        	printk("%s module get failed.\n", module_name);
        	return -EINVAL;;
  	}

	return 0;
}

static void __exit demo_exit(void)
{
	if (module) {
		module_put(module);
	}
}

module_init(demo_init);
module_exit(demo_exit);

MODULE_LICENSE("GPL");

如上 demo 实现的功能为在模块初始化的时候主动加载 module_name(默认值为 nlmon) 参数指定的内核模块。将上述代码保存为 kernel_load_module.c,使用如下 Makefile 文件进行编译:

MYPROC = kernel_load_module

obj-m += kernel_load_module.o

allofit:  modules

KROOT="/usr/src/kernels/4.19.90-2204.4.0.0146.oe1.x86_64/"
modules:
	@${MAKE} -C ${KROOT}  M=${PWD} modules

modules_install:
	@$(MAKE) -C $(KROOT) M=$(PWD) modules_install

kernel_clean:
	@$(MAKE) -C $(KROOT) M=$(PWD) clean

clean: kernel_clean
	rm -rf   Module.symvers modules.order

insert: modules
	sudo dmesg -c
	sudo insmod ${MYPROC}.ko

remove: clean
	sudo rmmod ${MYPROC}

编译成功后运行测试成功,过程记录如下:

[root@openeuler]# insmod ./kernel_load_module.ko 
[root@openeuler kernel_load_module]# cat /tmp/modprobe.log 
/tmp/modprobe -q -- nlmon
[root@openeuler kernel_load_module]# lsmod | grep nlmon
nlmon                  16384  0

可以看到 nlmon 模块重新加载,同时 /tmp/modprobe.log 中也记录了一条模块加载信息。

kernel.modules_disabled

此配置可以禁止用户加载内核模块(包含 root 用户)。默认配置为 0,当被设置为 1 后其值就不能修改且内核模块既不能加载也不能卸载。

示例过程如下:

[root@openeuler]# sysctl -w kernel.modules_disabled=0
sysctl: setting key "kernel.modules_disabled": Invalid argument
[root@openeuler]# modprobe uio
modprobe: ERROR: could not insert 'uio': Operation not permitted
[root@openeuler]# strace -f modprobe uio 2>&1 | grep module
.............................................................
stat("/sys/module/uio", 0x7fffb5dc56b0) = -1 ENOENT (No such file or directory)
openat(AT_FDCWD, "/lib/modules/4.19.90-2106.3.0.0095.oe1.x86_64/kernel/drivers/uio/uio.ko", O_RDONLY|O_CLOEXEC) = 3
finit_module(3, "", 0)                  = -1 EPERM (Operation not permitted)

上述示例中,当 sysctl 尝试将 modules_disabled 配置从 1 修改为 0 后,返回了非法参数的错误,与上文描述一致。

同时当 modules_disabled 设置为 1 后,模块无法加载,finit_module 系统调用返回无权限(注意我使用的是 root 用户)。

总结

已有的知识在扩展的同时也需要不断的整合,整合提高了知识的适用范围,让我对知识本身的理解更加深入!

longyu_wlz
关注
专栏目录
insmod加载模块流程
新时代农民工
07-19 543
insmod是Linux系统中用于加载内核模块的工具,Android中谷歌通过编写自己的命令解释器来实现bash,源码的位置在system\core\init\builtins.cpp命令行解释器的映射表,对应的函数是do_insmod函数对insmod 传参进行解释,有时候需要再insmod的时候传递一些参数,open打开ko文件,调用系统调用__NR_finit_module陷入内核
Linux内核设备驱动模块自动加载机制
热门推荐
smstong的成长轨迹
08-08 1万+
摘要: 现在大多数硬件设备的驱动都是作为模块出现的,Linux启动过程中会自动加载这些模块,本文通过内核源码简要说明这个过程。 1 驱动模块本身包含设备商、设备ID号等详细信息 如果想让内核启动过程中自动加载某个模块该怎么做呢?最容易想到的方法就是到/etc/init.d/中添加一个启动脚本,然后在/etc/rcN.d/目录下创建一个符号链接,这个链接的名字以S开头,这内核启动时,就会自动运行
Linux内核模块自动加载机制
Liuqz2009的专栏
08-30 1121
思考 如 果想让内核启动过程中自动加载某个模块该怎么做呢?最容易想到的方法就是到/etc/init.d/中添加一个启动脚本,然后在/etc/rcN.d/目 录下创建一个符号链接,这个链接的名字以S开头,这内核启动时,就会自动运行这个脚本了,这样就可以在脚本中使用modprobe来实现自动加载。但是我 们发现,内核加载了许多硬件设备的驱动,而搜索/etc目录,却没有发现任何脚本负责加载这些硬
Linux内核模块自动加载机制 .
weixin_44555609的博客
03-03 865
Linux内核模块自动加载机制
Linux内核模块和驱动的编写.rar_linux 妯″潡_linux内核_内核_内核模块_驱动内核删除
09-14
3. **模块参数**:内核模块可以通过命令行参数接收配置信息,使用`module_param`宏定义参数,并通过`module_param_array`处理数组参数。 4. **内核日志**:内核模块可以使用`printk()`函数输出日志,这个函数类似于...
使用kgdb调试linux内核内核模块
03-06
在Linux系统中,调试内核内核模块是一项复杂但重要的任务,特别是在开发或优化系统时。`kgdb`(Kernel GNU Debugger)是Linux社区提供的一款强大的工具,它允许开发者远程或者本地调试运行中的内核,包括内核模块...
linux自动加载ko模块,[ARM-Linux开发]Linux下加载.ko驱动模块的两种方法:insmodmodprobe...
weixin_36352910的博客
05-06 1712
bool "rtcrtcrtcrtcrtc",编译内核内核模型,只能生成.O文件.请问如何生成能够insmod的.KO文件,是不是应该在Makefile中加些语句生成.ko文件已经完成了,可是[root@localhost char]# insmod rtc_driver.kortc_driver.ko: ELF file rtc_driver.ko not for this architect...
linux-内核-x86内核模块加载
mf_happying的博客
10-26 531
大纲: 1.内核模块简介 2.内核模块编译和加载的过程 一.什么叫内核模块(linux如何使用需要的组件呢?) 把所有的组件都编译进内核文件,即zimage或者bzimage,会导致:生成内核文件过大;如果要添加或者删除某个组件,需要重新编译整个内核内核文件(即zimage或者bzimage)本身不包含这些组件,而是该组件需要被使用的时候进行动态的添加到正在运行的内核中,叫内核模块机制
内核调试(kernel debug)
07-07
无论是应用程序开发还是底层驱动开发,都离不开调试。本文用实例把你带进入软件调试的美好世界
modprobe命令 内核模块智能加载工具
01-09
modprobe命令用于智能地向内核加载模块或者从内核中移除模块modprobe命令可载入指定的个别模块,或是载入一组相依的模块。若在载入过程中发生错误,在modprobe会卸载整组的模块内核模块加载成功或失败信息可以使用dmesg指令来查看。 语法格式: modprobe [参数] [模块名] 常用参数: -a 加载命令行给出的全部的模块 -c 显示所有模块的设置信息 -d 使用排错模式 -l 显示可用的模块 -r 从内核中移除模块 -t 指定模块类型 -s 记录错误信息到系统日志中 — -show-depends 显示模块依赖关系 -v 执行
在CentOS启动时自动加载内核模块overlayfs操作
01-08
在CentOS中自动加载内核模块,可以在/etc/sysconfig/modules/目录中增加一个脚本,在此脚本中加载所需的模块。 下面是我所用的一个名为overlayfs.modules的脚本,用来在我的CentOS 7.X中自动加载overlayfs模块: #! /bin/sh /sbin/modinfo -F filename overlayfs> /dev/null 2>&1 if [ $? -eq 0 ]; then /sbin/modprobe overlayfs fi 脚本首先检查overlayfs模块文件是否存在,如果存在,则调用/sbin/modprobe命令加载此模
Intercept-System-Calls:使用可加载内核模块拦截系统调用
03-11
拦截系统调用 目的:使用可加载内核模块(LKM)拦截系统调用 概念:从根本上来说,系统调用应作为内核的一部分来实现,并且每次添加系统调用时,在修改静态系统调用表后,都需要重新编译内核映像,该表跟踪所有实现的系统调用的所有函数指针。 因此,我们的目的是通过可加载内核模块“拦截”现有系统调用的行为 遵循的步骤: 可加载内核模块(LKM)只是对操作系统中基本内核的扩展,可以即时加载/卸载,而无需重新编译内核或重新引导系统。 打开您选择的文本编辑器,并通过添加两个头文件开始编写一个简单的可加载内核模块: #include <linux> //this adds required headers for versioning #include <linux> //macros for module development 为了编写任何内核模块,我
linux系统启动自动加载内核模块
zhouhailiang1991的博客
06-04 1978
1、思考 如果想让内核启动过程中自动加载某个模块该怎么做呢? 对于传统的init机制启动的linux文件系统,最容易想到的方法就是在/etc/init.d/中添加一个启动脚本,然后在/etc/rcN.d/目录下创建一个符号链接,这个链接的名字以S开头,这内核启动时,就会自动运行这个脚本了,这样就可以在脚本中使用modprobe来实现自动加载。 但是我们发现,内核加载了许多硬件设备的驱动,而搜索/etc目录,却没有发现任何脚本负责加载这些硬件设备驱动程序的模块。那么这些模块又是如何被加载的呢? 2、
内核调试
weixin_33713350的博客
07-05 1060
转载一篇文章:http://my.oschina.net/fgq611/blog/113249 linux内核调试方法总结。 1.二分法与printk() AB之间有个bug,在AB之间找个中间点C,使用printk,查看bug在AC还是CB。以此类推。其中printk(“__func__”) 设定printk的级别,八个级别分别是从1--8,其中1基本最高,只打印系统可能崩溃...
kernel debug内核调试)
第十六维
06-20 3079
1.yum -y install ncurses-devel.x86_64 elfutils-libelf-devel.x86_64 elfutils-libelf-devel.x86_64 2.download kernel and busybox 3. kernel compress:    make ARCH=x86_64 CROSS_COMPILE=x86_64-none-linux-...
浅析Linux内核模块加载机制
最新发布
Aspiresky的专栏
02-07 1851
模块加载用于配置系统在启动时自动加载所需要的模块,这在添加新的设备和驱动很有用。方式1:基于systemd提供的modules-load服务,使用静态配置。方式2:基于udev的动态加载机制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值