在内核空间与用户空间界面处,内核检查用户空间缓冲区的合法性显得尤其必要,Linux内核的许多安全漏洞都是因为遗忘了这一检查造成的,非法侵入者可以伪造一片内核空间的缓冲区地址传入系统调用接口,让内核对这个”指向内核空间的缓冲区”填充数据,可以从http://www.cvedetails.com网站查询Linux CVE(Common Vulnerabilities and Exposures)列表。
其实内核的copy_from_user和copy_to_user内部进行了检查:
static inline unsigned long __must_check copy_from_user(void *to, const void __user *from, unsigned long n)
{
if (access_ok(VERIFY_READ, from, n))
n = __copy_from_user(to, from, n);
else /* security hole - plug it */
memset(to, 0, n);
return n;
}
static inline unsigned long __must_check copy_to_user(void __user *to, const void *from, unsigned long n)
{
if (access_ok(VERIFY_WRITE, to, n))
n = __copy_to_user(to, from, n);
return n;
}
copy_to_user和copy_from_user均返回不能被复制的字节数,因此,如果完全复制成功,返回0,如果复制失败返回负值。
如果要复制的内存是简单类型,如char、int、long等,可以使用简单的put_user和get_user,如:
int val;
get_user(val, (int *)arg);
put_user(val, (int *)arg);
函数中__user是一个宏,表面其后的指针指向用户空间,充当代码自注释的功能在文件kernel: include/linux/compiler.h中定义:
# define __user __attribute__((noderef, address_space(1)))
内核空间虽然可以访问用户空间缓冲区,但在访问前也是要做检查的,通过调用access_ok(type, addr, size)进行判断,以确定传入的缓存区的确属于用户空间,例如:
static ssize_t read_port(struct file *file, char __user *buf, size_t count, loff_t *ppos)
{
unsigned long i = *ppos;
char __user *tmp = buf;
if (!access_ok(VERIFY_WRITE, buf, count))
return -EFAULT;
while (count-- > 0 && i < 65536) {
if (__put_user(intb(i), tmp) < 0)
return -EFAULT;
i++;
tmp++;
}
*ppos = i;
return tmp - buf;
}
__get_user、__put_user不进行access_ok()检查
get_user、put_user进行检查