Linux 内核如何在 copy_from_user 中临时禁用 x86 SMAP?
How does the Linux kernel temporarily disable x86 SMAP in copy_from_user?
我想知道 Linux 内核在执行 copy_from_user() 函数时如何禁用 x86 SMAP。我试图在源代码中找到一些东西,但我失败了。
Supervisor Mode Access Prevention (SMAP) 是 x86 CPU 的一项安全功能,可防止内核访问意外的用户-space 内存,这有助于抵御各种攻击。
如您链接的维基百科页面中所述:
SMAP is enabled when memory paging is active and the SMAP bit in the CR4 control register is set. SMAP can be temporarily disabled for explicit memory accesses by setting the EFLAGS.AC (Alignment Check) flag. The stac (Set AC Flag) and clac (Clear AC Flag) instructions can be used to easily set or clear the flag.
Linux 内核正是这样做来临时禁用 SMAP:它在复制数据之前使用 stac 设置 EFLAGS.AC,然后使用 clac 清除 EFLAGS.AC 完成后。
The AC flag has existed since 486 as alignment check for user-space load/store; SMAP overloads the meaning of that flag bit. stac/clac 是 SMAP 的新功能,只允许在内核模式下使用 (CPL=0);它们在 user-space 中出错(在没有 SMAP 的 CPU 上,也在内核模式中)。
理论上它很简单,但实际上 Linux 内核代码库是函数、宏、内联汇编模板等的丛林。要确切地了解这是如何完成的,我们可以查看源代码代码,从copy_from_user():
开始
调用copy_from_user()时,会快速检查内存范围是否有效,然后调用_copy_from_user()...
... 进行另外几项检查,然后调用 raw_copy_from_user()...
... 在执行实际复制之前调用 __uaccess_begin_nospec()...
... 这只是一个扩展为 stac(); barrier_nospec().
的宏
关注stac(),这是一个简单的内联函数,我们有:
alternative("", __ASM_STAC, X86_FEATURE_SMAP);
alternative() 宏是一个非常复杂的宏,用于在内核启动时为指令选择替代项,基于 CPU 支持。您可以检查定义它的源文件以获取更多信息。在这种情况下,它用于决定内核是否需要使用 stac 指令,基于 CPU 支持(旧的 x86 CPUs 没有可用的 SMAP,因此不要没有指令:在那些 CPU 上,这只是一个空操作)。
查看 __ASM_STAC 宏,我们看到:
#define __ASM_STAC ".byte 0x0f,0x01,0xcb"
这是汇编的 stac 操作码(以字节为单位)。这是用 .byte 指令而不是助记符定义的,因为,同样,即使在 binutils 版本不知道这些指令的旧工具链上,它也需要编译。
启动后,cpuid 指令用于检查 X86_FEATURE_SMAP(当 cpuid 与 eax=7, ecx=0 一起执行时 ebx 的位 20获取 extended features),这会告诉内核 SMAP 是否可用(重写机器代码以使指令变为 stac)或不可用(保持空操作)。
一旦完成所有这些疯狂操作(实际上所有这些都归结为 一条指令),就会执行从用户内存中进行的实际复制,然后 __uaccess_end() 宏然后用于重新启用 SMAP。这个宏使用 alternative() 的方式与我们刚才看到的相同,并最终执行 clac(或 nop)。
我想知道 Linux 内核在执行 copy_from_user() 函数时如何禁用 x86 SMAP。我试图在源代码中找到一些东西,但我失败了。
Supervisor Mode Access Prevention (SMAP) 是 x86 CPU 的一项安全功能,可防止内核访问意外的用户-space 内存,这有助于抵御各种攻击。
如您链接的维基百科页面中所述:
SMAP is enabled when memory paging is active and the SMAP bit in the CR4 control register is set. SMAP can be temporarily disabled for explicit memory accesses by setting the EFLAGS.AC (Alignment Check) flag. The
stac(Set AC Flag) andclac(Clear AC Flag) instructions can be used to easily set or clear the flag.
Linux 内核正是这样做来临时禁用 SMAP:它在复制数据之前使用 stac 设置 EFLAGS.AC,然后使用 clac 清除 EFLAGS.AC 完成后。
The AC flag has existed since 486 as alignment check for user-space load/store; SMAP overloads the meaning of that flag bit. stac/clac 是 SMAP 的新功能,只允许在内核模式下使用 (CPL=0);它们在 user-space 中出错(在没有 SMAP 的 CPU 上,也在内核模式中)。
理论上它很简单,但实际上 Linux 内核代码库是函数、宏、内联汇编模板等的丛林。要确切地了解这是如何完成的,我们可以查看源代码代码,从copy_from_user():
调用
copy_from_user()时,会快速检查内存范围是否有效,然后调用_copy_from_user()...... 进行另外几项检查,然后调用
raw_copy_from_user()...... 在执行实际复制之前调用
__uaccess_begin_nospec()...... 这只是一个扩展为
的宏stac(); barrier_nospec().关注
stac(),这是一个简单的内联函数,我们有:alternative("", __ASM_STAC, X86_FEATURE_SMAP);
alternative() 宏是一个非常复杂的宏,用于在内核启动时为指令选择替代项,基于 CPU 支持。您可以检查定义它的源文件以获取更多信息。在这种情况下,它用于决定内核是否需要使用 stac 指令,基于 CPU 支持(旧的 x86 CPUs 没有可用的 SMAP,因此不要没有指令:在那些 CPU 上,这只是一个空操作)。
查看 __ASM_STAC 宏,我们看到:
#define __ASM_STAC ".byte 0x0f,0x01,0xcb"
这是汇编的 stac 操作码(以字节为单位)。这是用 .byte 指令而不是助记符定义的,因为,同样,即使在 binutils 版本不知道这些指令的旧工具链上,它也需要编译。
启动后,cpuid 指令用于检查 X86_FEATURE_SMAP(当 cpuid 与 eax=7, ecx=0 一起执行时 ebx 的位 20获取 extended features),这会告诉内核 SMAP 是否可用(重写机器代码以使指令变为 stac)或不可用(保持空操作)。
一旦完成所有这些疯狂操作(实际上所有这些都归结为 一条指令),就会执行从用户内存中进行的实际复制,然后 __uaccess_end() 宏然后用于重新启用 SMAP。这个宏使用 alternative() 的方式与我们刚才看到的相同,并最终执行 clac(或 nop)。