1.4. 安全問(wèn)題

1.4.?安全問(wèn)題

安全是當(dāng)今重要性不斷增長(zhǎng)的關(guān)注點(diǎn). 我們將討論安全相關(guān)的問(wèn)題, 在它們?cè)诒緯?shū)中出現(xiàn)時(shí). 有幾個(gè)通用的概念, 卻值得現(xiàn)在提一下.

系統(tǒng)中任何安全檢查都由內(nèi)核代碼強(qiáng)加上去. 如果內(nèi)核有安全漏洞, 系統(tǒng)作為一個(gè)整體就有漏洞. 在官方的內(nèi)核發(fā)布里, 只有一個(gè)有授權(quán)的用戶(hù)可以加載模塊; 系統(tǒng)調(diào)用 init_module 檢查調(diào)用進(jìn)程是否是有權(quán)加載模塊到內(nèi)核里. 因此, 當(dāng)運(yùn)行一個(gè)官方內(nèi)核時(shí), 只有超級(jí)用戶(hù)[1]或者一個(gè)成功獲得特權(quán)的入侵者, 才可以利用特權(quán)代碼的能力.

在可能時(shí), 驅(qū)動(dòng)編寫(xiě)者應(yīng)當(dāng)避免將安全策略編到他們的代碼中. 安全是一個(gè)策略問(wèn)題, 最好在內(nèi)核高層來(lái)處理, 在系統(tǒng)管理員的控制下. 但是, 常有例外.

作為一個(gè)設(shè)備驅(qū)動(dòng)編寫(xiě)者, 你應(yīng)當(dāng)知道在什么情形下, 某些類(lèi)型的設(shè)備存取可能反面地影響系統(tǒng)作為一個(gè)整體, 并且應(yīng)當(dāng)提供足夠地控制. 例如, 會(huì)影響全局資源的設(shè)備操作( 例如設(shè)置一條中斷線 ), 可能會(huì)損壞硬件( 例如, 加載固件 ), 或者它可能會(huì)影響其他用戶(hù)( 例如設(shè)置一個(gè)磁帶驅(qū)動(dòng)的缺省的塊大小 ), 常常是只對(duì)有足夠授權(quán)的用戶(hù), 并且這種檢查必須由驅(qū)動(dòng)自身進(jìn)行.

驅(qū)動(dòng)編寫(xiě)者也必須要小心, 當(dāng)然, 來(lái)避免引入安全 bug. C 編程語(yǔ)言使得易于犯下幾類(lèi)的錯(cuò)誤. 例如, 許多現(xiàn)今的安全問(wèn)題是由于緩沖區(qū)覆蓋引起, 它是由于程序員忘記檢查有多少數(shù)據(jù)寫(xiě)入緩沖區(qū), 數(shù)據(jù)在緩沖區(qū)結(jié)尾之外結(jié)束, 因此覆蓋了無(wú)關(guān)的數(shù)據(jù). 這樣的錯(cuò)誤可能會(huì)危及整個(gè)系統(tǒng)的安全, 必須避免. 幸運(yùn)的是, 在設(shè)備驅(qū)動(dòng)上下文中避免這樣的錯(cuò)誤經(jīng)常是相對(duì)容易的, 這里對(duì)用戶(hù)的接口經(jīng)過(guò)精細(xì)定義并被高度地控制.

一些其他的通用的安全觀念也值得牢記. 任何從用戶(hù)進(jìn)程接收的輸入應(yīng)當(dāng)以極大的懷疑態(tài)度來(lái)對(duì)待; 除非你能核實(shí)它, 否則不要信任它. 小心對(duì)待未初始化的內(nèi)存; 從內(nèi)核獲取的任何內(nèi)存應(yīng)當(dāng)清零或者在其對(duì)用戶(hù)進(jìn)程或設(shè)備可用之前進(jìn)行初始化. 否則, 可能發(fā)生信息泄漏( 數(shù)據(jù), 密碼的暴露等等 ). 如果你的設(shè)備解析發(fā)送給它的數(shù)據(jù), 要確保用戶(hù)不能發(fā)送任何能危及系統(tǒng)的東西. 最后, 考慮一下設(shè)備操作的可能后果; 如果有特定的操作( 例如, 加載一個(gè)適配卡的固件或者格式化一個(gè)磁盤(pán) ), 能影響到系統(tǒng)的, 這些操作應(yīng)該完全確定地要限制在授權(quán)的用戶(hù)中.

也要小心, 當(dāng)從第三方接收軟件時(shí), 特別是與內(nèi)核有關(guān): 因?yàn)槊總€(gè)人都可以接觸到源碼, 每個(gè)人都可以分拆和重組東西. 盡管你能夠信任在你的發(fā)布中的預(yù)編譯的內(nèi)核, 你應(yīng)當(dāng)避免運(yùn)行一個(gè)由不能信任的朋友編譯的內(nèi)核 -- 如果你不能作為 root 運(yùn)行預(yù)編譯的二進(jìn)制文件, 那么你最好不要運(yùn)行一個(gè)預(yù)編譯的內(nèi)核. 例如, 一個(gè)經(jīng)過(guò)了惡意修改的內(nèi)核可能會(huì)允許任何人加載模塊, 這樣就通過(guò) init_module 開(kāi)啟了一個(gè)不想要的后門(mén).

注意, Linux 內(nèi)核可以編譯成不支持任何屬于模塊的東西, 因此關(guān)閉了任何模塊相關(guān)的安全漏洞. 在這種情況下, 當(dāng)然, 所有需要的驅(qū)動(dòng)必須直接建立到內(nèi)核自身內(nèi)部. 在 2.2 和以后的內(nèi)核, 也可以在系統(tǒng)啟動(dòng)之后, 通過(guò) capability 機(jī)制來(lái)禁止內(nèi)核模塊的加載.

[1] 從技術(shù)上講, 只有具有 CAP_SYS_MODULE 權(quán)利的人才可以進(jìn)行這個(gè)操作. 我們第 6 章討論 capabilities .