1.4. 安全問題

1.4.?安全問題

安全是當今重要性不斷增長的關(guān)注點. 我們將討論安全相關(guān)的問題, 在它們在本書中出現(xiàn)時. 有幾個通用的概念, 卻值得現(xiàn)在提一下.

系統(tǒng)中任何安全檢查都由內(nèi)核代碼強加上去. 如果內(nèi)核有安全漏洞, 系統(tǒng)作為一個整體就有漏洞. 在官方的內(nèi)核發(fā)布里, 只有一個有授權(quán)的用戶可以加載模塊; 系統(tǒng)調(diào)用 init_module 檢查調(diào)用進程是否是有權(quán)加載模塊到內(nèi)核里. 因此, 當運行一個官方內(nèi)核時, 只有超級用戶[1]或者一個成功獲得特權(quán)的入侵者, 才可以利用特權(quán)代碼的能力.

在可能時, 驅(qū)動編寫者應當避免將安全策略編到他們的代碼中. 安全是一個策略問題, 最好在內(nèi)核高層來處理, 在系統(tǒng)管理員的控制下. 但是, 常有例外.

作為一個設備驅(qū)動編寫者, 你應當知道在什么情形下, 某些類型的設備存取可能反面地影響系統(tǒng)作為一個整體, 并且應當提供足夠地控制. 例如, 會影響全局資源的設備操作( 例如設置一條中斷線 ), 可能會損壞硬件( 例如, 加載固件 ), 或者它可能會影響其他用戶( 例如設置一個磁帶驅(qū)動的缺省的塊大小 ), 常常是只對有足夠授權(quán)的用戶, 并且這種檢查必須由驅(qū)動自身進行.

驅(qū)動編寫者也必須要小心, 當然, 來避免引入安全 bug. C 編程語言使得易于犯下幾類的錯誤. 例如, 許多現(xiàn)今的安全問題是由于緩沖區(qū)覆蓋引起, 它是由于程序員忘記檢查有多少數(shù)據(jù)寫入緩沖區(qū), 數(shù)據(jù)在緩沖區(qū)結(jié)尾之外結(jié)束, 因此覆蓋了無關(guān)的數(shù)據(jù). 這樣的錯誤可能會危及整個系統(tǒng)的安全, 必須避免. 幸運的是, 在設備驅(qū)動上下文中避免這樣的錯誤經(jīng)常是相對容易的, 這里對用戶的接口經(jīng)過精細定義并被高度地控制.

一些其他的通用的安全觀念也值得牢記. 任何從用戶進程接收的輸入應當以極大的懷疑態(tài)度來對待; 除非你能核實它, 否則不要信任它. 小心對待未初始化的內(nèi)存; 從內(nèi)核獲取的任何內(nèi)存應當清零或者在其對用戶進程或設備可用之前進行初始化. 否則, 可能發(fā)生信息泄漏( 數(shù)據(jù), 密碼的暴露等等 ). 如果你的設備解析發(fā)送給它的數(shù)據(jù), 要確保用戶不能發(fā)送任何能危及系統(tǒng)的東西. 最后, 考慮一下設備操作的可能后果; 如果有特定的操作( 例如, 加載一個適配卡的固件或者格式化一個磁盤 ), 能影響到系統(tǒng)的, 這些操作應該完全確定地要限制在授權(quán)的用戶中.

也要小心, 當從第三方接收軟件時, 特別是與內(nèi)核有關(guān): 因為每個人都可以接觸到源碼, 每個人都可以分拆和重組東西. 盡管你能夠信任在你的發(fā)布中的預編譯的內(nèi)核, 你應當避免運行一個由不能信任的朋友編譯的內(nèi)核 -- 如果你不能作為 root 運行預編譯的二進制文件, 那么你最好不要運行一個預編譯的內(nèi)核. 例如, 一個經(jīng)過了惡意修改的內(nèi)核可能會允許任何人加載模塊, 這樣就通過 init_module 開啟了一個不想要的后門.

注意, Linux 內(nèi)核可以編譯成不支持任何屬于模塊的東西, 因此關(guān)閉了任何模塊相關(guān)的安全漏洞. 在這種情況下, 當然, 所有需要的驅(qū)動必須直接建立到內(nèi)核自身內(nèi)部. 在 2.2 和以后的內(nèi)核, 也可以在系統(tǒng)啟動之后, 通過 capability 機制來禁止內(nèi)核模塊的加載.

[1] 從技術(shù)上講, 只有具有 CAP_SYS_MODULE 權(quán)利的人才可以進行這個操作. 我們第 6 章討論 capabilities .