1.4.?安全問題

安全是當(dāng)今重要性不斷增長的關(guān)注點(diǎn). 我們將討論安全相關(guān)的問題, 在它們在本書中出現(xiàn)時(shí). 有幾個(gè)通用的概念, 卻值得現(xiàn)在提一下.

系統(tǒng)中任何安全檢查都由內(nèi)核代碼強(qiáng)加上去. 如果內(nèi)核有安全漏洞, 系統(tǒng)作為一個(gè)整體就有漏洞. 在官方的內(nèi)核發(fā)布里, 只有一個(gè)有授權(quán)的用戶可以加載模塊; 系統(tǒng)調(diào)用 init_module 檢查調(diào)用進(jìn)程是否是有權(quán)加載模塊到內(nèi)核里. 因此, 當(dāng)運(yùn)行一個(gè)官方內(nèi)核時(shí), 只有超級用戶[1]或者一個(gè)成功獲得特權(quán)的入侵者, 才可以利用特權(quán)代碼的能力.

在可能時(shí), 驅(qū)動編寫者應(yīng)當(dāng)避免將安全策略編到他們的代碼中. 安全是一個(gè)策略問題, 最好在內(nèi)核高層來處理, 在系統(tǒng)管理員的控制下. 但是, 常有例外.

作為一個(gè)設(shè)備驅(qū)動編寫者, 你應(yīng)當(dāng)知道在什么情形下, 某些類型的設(shè)備存取可能反面地影響系統(tǒng)作為一個(gè)整體, 并且應(yīng)當(dāng)提供足夠地控制. 例如, 會影響全局資源的設(shè)備操作( 例如設(shè)置一條中斷線 ), 可能會損壞硬件( 例如, 加載固件 ), 或者它可能會影響其他用戶( 例如設(shè)置一個(gè)磁帶驅(qū)動的缺省的塊大小 ), 常常是只對有足夠授權(quán)的用戶, 并且這種檢查必須由驅(qū)動自身進(jìn)行.

驅(qū)動編寫者也必須要小心, 當(dāng)然, 來避免引入安全 bug. C 編程語言使得易于犯下幾類的錯(cuò)誤. 例如, 許多現(xiàn)今的安全問題是由于緩沖區(qū)覆蓋引起, 它是由于程序員忘記檢查有多少數(shù)據(jù)寫入緩沖區(qū), 數(shù)據(jù)在緩沖區(qū)結(jié)尾之外結(jié)束, 因此覆蓋了無關(guān)的數(shù)據(jù). 這樣的錯(cuò)誤可能會危及整個(gè)系統(tǒng)的安全, 必須避免. 幸運(yùn)的是, 在設(shè)備驅(qū)動上下文中避免這樣的錯(cuò)誤經(jīng)常是相對容易的, 這里對用戶的接口經(jīng)過精細(xì)定義并被高度地控制.

一些其他的通用的安全觀念也值得牢記. 任何從用戶進(jìn)程接收的輸入應(yīng)當(dāng)以極大的懷疑態(tài)度來對待; 除非你能核實(shí)它, 否則不要信任它. 小心對待未初始化的內(nèi)存; 從內(nèi)核獲取的任何內(nèi)存應(yīng)當(dāng)清零或者在其對用戶進(jìn)程或設(shè)備可用之前進(jìn)行初始化. 否則, 可能發(fā)生信息泄漏( 數(shù)據(jù), 密碼的暴露等等 ). 如果你的設(shè)備解析發(fā)送給它的數(shù)據(jù), 要確保用戶不能發(fā)送任何能危及系統(tǒng)的東西. 最后, 考慮一下設(shè)備操作的可能后果; 如果有特定的操作( 例如, 加載一個(gè)適配卡的固件或者格式化一個(gè)磁盤 ), 能影響到系統(tǒng)的, 這些操作應(yīng)該完全確定地要限制在授權(quán)的用戶中.

也要小心, 當(dāng)從第三方接收軟件時(shí), 特別是與內(nèi)核有關(guān): 因?yàn)槊總€(gè)人都可以接觸到源碼, 每個(gè)人都可以分拆和重組東西. 盡管你能夠信任在你的發(fā)布中的預(yù)編譯的內(nèi)核, 你應(yīng)當(dāng)避免運(yùn)行一個(gè)由不能信任的朋友編譯的內(nèi)核 -- 如果你不能作為 root 運(yùn)行預(yù)編譯的二進(jìn)制文件, 那么你最好不要運(yùn)行一個(gè)預(yù)編譯的內(nèi)核. 例如, 一個(gè)經(jīng)過了惡意修改的內(nèi)核可能會允許任何人加載模塊, 這樣就通過 init_module 開啟了一個(gè)不想要的后門.

注意, Linux 內(nèi)核可以編譯成不支持任何屬于模塊的東西, 因此關(guān)閉了任何模塊相關(guān)的安全漏洞. 在這種情況下, 當(dāng)然, 所有需要的驅(qū)動必須直接建立到內(nèi)核自身內(nèi)部. 在 2.2 和以后的內(nèi)核, 也可以在系統(tǒng)啟動之后, 通過 capability 機(jī)制來禁止內(nèi)核模塊的加載.

[1] 從技術(shù)上講, 只有具有 CAP_SYS_MODULE 權(quán)利的人才可以進(jìn)行這個(gè)操作. 我們第 6 章討論 capabilities .