内核地址消毒剂(KASAN)

1 概述

KernelAddressSANitizer(KASAN)是一种动态内存安全错误检测工具，主要功能是 检查内存越界访问和使用已释放内存的问题。KASAN有三种模式:

• 通用KASAN（与用户空间的ASan类似）

• 基于软件标签的KASAN（与用户空间的HWASan类似）

• 基于硬件标签的KASAN（基于硬件内存标签）

由于通用KASAN的内存开销较大，通用KASAN主要用于调试。基于软件标签的KASAN 可用于dogfood测试，因为它具有较低的内存开销，并允许将其用于实际工作量。 基于硬件标签的KASAN具有较低的内存和性能开销，因此可用于生产。同时可用于 检测现场内存问题或作为安全缓解措施。

软件KASAN模式（#1和#2）使用编译时工具在每次内存访问之前插入有效性检查， 因此需要一个支持它的编译器版本。

通用KASAN在GCC和Clang受支持。GCC需要8.3.0或更高版本。任何受支持的Clang 版本都是兼容的，但从Clang 11才开始支持检测全局变量的越界访问。

基于软件标签的KASAN模式仅在Clang中受支持。

硬件KASAN模式（#3）依赖硬件来执行检查，但仍需要支持内存标签指令的编译器 版本。GCC 10+和Clang 11+支持此模式。

两种软件KASAN模式都适用于SLUB和SLAB内存分配器，而基于硬件标签的KASAN目前 仅支持SLUB。

目前x86_64、arm、arm64、xtensa、s390、riscv架构支持通用KASAN模式，仅 arm64架构支持基于标签的KASAN模式。

2 用法

要启用KASAN，请使用以下命令配置内核:

CONFIG_KASAN=y

同时在 CONFIG_KASAN_GENERIC (启用通用KASAN模式)， CONFIG_KASAN_SW_TAGS (启用基于硬件标签的KASAN模式)，和 CONFIG_KASAN_HW_TAGS (启用基于硬件标签 的KASAN模式)之间进行选择。

对于软件模式，还可以在 CONFIG_KASAN_OUTLINE 和 CONFIG_KASAN_INLINE 之间进行选择。outline和inline是编译器插桩类型。前者产生较小的二进制文件， 而后者快1.1-2倍。

要将受影响的slab对象的alloc和free堆栈跟踪包含到报告中，请启用 CONFIG_STACKTRACE 。要包括受影响物理页面的分配和释放堆栈跟踪的话， 请启用 CONFIG_PAGE_OWNER 并使用 page_owner=on 进行引导。

3 错误报告

典型的KASAN报告如下所示:

==================================================================
BUG: KASAN: slab-out-of-bounds in kmalloc_oob_right+0xa8/0xbc [test_kasan]
Write of size 1 at addr ffff8801f44ec37b by task insmod/2760

CPU: 1 PID: 2760 Comm: insmod Not tainted 4.19.0-rc3+ #698
Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.10.2-1 04/01/2014
Call Trace:
 dump_stack+0x94/0xd8
 print_address_description+0x73/0x280
 kasan_report+0x144/0x187
 __asan_report_store1_noabort+0x17/0x20
 kmalloc_oob_right+0xa8/0xbc [test_kasan]
 kmalloc_tests_init+0x16/0x700 [test_kasan]
 do_one_initcall+0xa5/0x3ae
 do_init_module+0x1b6/0x547
 load_module+0x75df/0x8070
 __do_sys_init_module+0x1c6/0x200
 __x64_sys_init_module+0x6e/0xb0
 do_syscall_64+0x9f/0x2c0
 entry_SYSCALL_64_after_hwframe+0x44/0xa9
RIP: 0033:0x7f96443109da
RSP: 002b:00007ffcf0b51b08 EFLAGS: 00000202 ORIG_RAX: 00000000000000af
RAX: ffffffffffffffda RBX: 000055dc3ee521a0 RCX: 00007f96443109da
RDX: 00007f96445cff88 RSI: 0000000000057a50 RDI: 00007f9644992000
RBP: 000055dc3ee510b0 R08: 0000000000000003 R09: 0000000000000000
R10: 00007f964430cd0a R11: 0000000000000202 R12: 00007f96445cff88
R13: 000055dc3ee51090 R14: 0000000000000000 R15: 0000000000000000

Allocated by task 2760:
 save_stack+0x43/0xd0
 kasan_kmalloc+0xa7/0xd0
 kmem_cache_alloc_trace+0xe1/0x1b0
 kmalloc_oob_right+0x56/0xbc [test_kasan]
 kmalloc_tests_init+0x16/0x700 [test_kasan]
 do_one_initcall+0xa5/0x3ae
 do_init_module+0x1b6/0x547
 load_module+0x75df/0x8070
 __do_sys_init_module+0x1c6/0x200
 __x64_sys_init_module+0x6e/0xb0
 do_syscall_64+0x9f/0x2c0
 entry_SYSCALL_64_after_hwframe+0x44/0xa9

Freed by task 815:
 save_stack+0x43/0xd0
 __kasan_slab_free+0x135/0x190
 kasan_slab_free+0xe/0x10
 kfree+0x93/0x1a0
 umh_complete+0x6a/0xa0
 call_usermodehelper_exec_async+0x4c3/0x640
 ret_from_fork+0x35/0x40

The buggy address belongs to the object at ffff8801f44ec300
 which belongs to the cache kmalloc-128 of size 128
The buggy address is located 123 bytes inside of
 128-byte region [ffff8801f44ec300, ffff8801f44ec380)
The buggy address belongs to the page:
page:ffffea0007d13b00 count:1 mapcount:0 mapping:ffff8801f7001640 index:0x0
flags: 0x200000000000100(slab)
raw: 0200000000000100 ffffea0007d11dc0 0000001a0000001a ffff8801f7001640
raw: 0000000000000000 0000000080150015 00000001ffffffff 0000000000000000
page dumped because: kasan: bad access detected

Memory state around the buggy address:
 ffff8801f44ec200: fc fc fc fc fc fc fc fc fb fb fb fb fb fb fb fb
 ffff8801f44ec280: fb fb fb fb fb fb fb fb fc fc fc fc fc fc fc fc
>ffff8801f44ec300: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 03
                                                                ^
 ffff8801f44ec380: fc fc fc fc fc fc fc fc fb fb fb fb fb fb fb fb
 ffff8801f44ec400: fb fb fb fb fb fb fb fb fc fc fc fc fc fc fc fc
==================================================================

报告标题总结了发生的错误类型以及导致该错误的访问类型。紧随其后的是错误访问的 堆栈跟踪、所访问内存分配位置的堆栈跟踪（对于访问了slab对象的情况）以及对象 被释放的位置的堆栈跟踪（对于访问已释放内存的问题报告）。接下来是对访问的 slab对象的描述以及关于访问的内存页的信息。

最后，报告展示了访问地址周围的内存状态。在内部，KASAN单独跟踪每个内存颗粒的 内存状态，根据KASAN模式分为8或16个对齐字节。报告的内存状态部分中的每个数字 都显示了围绕访问地址的其中一个内存颗粒的状态。

对于通用KASAN，每个内存颗粒的大小为8个字节。每个颗粒的状态被编码在一个影子字节 中。这8个字节可以是可访问的，部分访问的，已释放的或成为Redzone的一部分。KASAN 对每个影子字节使用以下编码:00表示对应内存区域的所有8个字节都可以访问；数字N (1 <= N <= 7)表示前N个字节可访问，其他(8 - N)个字节不可访问；任何负值都表示 无法访问整个8字节。KASAN使用不同的负值来区分不同类型的不可访问内存，如redzones 或已释放的内存（参见 mm/kasan/kasan.h）。

在上面的报告中，箭头指向影子字节 03 ，表示访问的地址是部分可访问的。

对于基于标签的KASAN模式，报告最后的部分显示了访问地址周围的内存标签 (参考 实施细则 章节)。

请注意，KASAN错误标题（如 slab-out-of-bounds 或 use-after-free ） 是尽量接近的:KASAN根据其拥有的有限信息打印出最可能的错误类型。错误的实际类型 可能会有所不同。

4 启动参数

KASAN受通用 panic_on_warn 命令行参数的影响。启用该功能后，KASAN在打印错误 报告后会引起内核panic。

默认情况下，KASAN只为第一次无效内存访问打印错误报告。使用 kasan_multi_shot ， KASAN会针对每个无效访问打印报告, 禁用了KASAN报告的 panic_on_warn 。

5 实现原理

5.1 通用KASAN

软件KASAN模式使用影子内存来记录每个内存字节是否可以安全访问，并使用编译时工具 在每次内存访问之前插入影子内存检查。

通用KASAN将1/8的内核内存专用于其影子内存，并使用 具有比例和偏移量的直接映射将内存地址转换为其相应的影子地址。

这是将地址转换为其相应影子地址的函数:

static inline void *kasan_mem_to_shadow(const void *addr)
{
    return (void *)((unsigned long)addr >> KASAN_SHADOW_SCALE_SHIFT)
            + KASAN_SHADOW_OFFSET;
}

在这里 KASAN_SHADOW_SCALE_SHIFT = 3 。

编译时工具用于插入内存访问检查。编译器在每次访问大小为1、2、4、8或16的内存之前 插入函数调用( __asan_load*(addr) , __asan_store*(addr))。这些函数通过 检查相应的影子内存来检查内存访问是否有效。

通用KASAN是唯一一种通过隔离延迟重新使用已释放对象的模式，便于检测use after free的问题。

5.2 基于软件标签的KASAN模式

基于软件标签的KASAN使用软件内存标签方法来检查访问有效性。目前仅针对arm64架构实现。

基于软件标签的KASAN使用arm64 CPU的顶部字节忽略(TBI)特性在内核指针的顶部字节中 存储一个指针标签。它使用影子内存来存储与每个16字节内存单元相关的内存标签(因此， 它将内核内存的1/16专用于影子内存)。

在每次内存分配时，基于软件标签的KASAN都会生成一个随机标签，用这个标签标记分配 的内存，并将相同的标签嵌入到返回的指针中。

基于软件标签的KASAN使用编译时工具在每次内存访问之前插入检查。这些检查确保正在 访问的内存的标签等于用于访问该内存的指针的标签。如果标签不匹配，基于软件标签 的KASAN会打印错误报告。

基于软件标签的KASAN也有两种插桩模式（outline，发出回调来检查内存访问；inline， 执行内联的影子内存检查）。使用outline插桩模式，会从执行访问检查的函数打印错误 报告。使用inline插桩，编译器会发出 brk 指令，并使用专用的 brk 处理程序 来打印错误报告。

基于软件标签的KASAN使用0xFF作为匹配所有指针标签（不检查通过带有0xFF指针标签 的指针进行的访问）。值0xFE当前保留用于标记已释放的内存区域。

基于软件标签的KASAN目前仅支持对Slab和page_alloc内存进行标记。