## 1.4.?安全問題
安全是當今重要性不斷增長的關注點. 我們將討論安全相關的問題, 在它們在本書中出現時. 有幾個通用的概念, 卻值得現在提一下.
系統中任何安全檢查都由內核代碼強加上去. 如果內核有安全漏洞, 系統作為一個整體就有漏洞. 在官方的內核發布里, 只有一個有授權的用戶可以加載模塊; 系統調用 init_module 檢查調用進程是否是有權加載模塊到內核里. 因此, 當運行一個官方內核時, 只有超級用戶[[1](#)]或者一個成功獲得特權的入侵者, 才可以利用特權代碼的能力.
在可能時, 驅動編寫者應當避免將安全策略編到他們的代碼中. 安全是一個策略問題, 最好在內核高層來處理, 在系統管理員的控制下. 但是, 常有例外.
作為一個設備驅動編寫者, 你應當知道在什么情形下, 某些類型的設備存取可能反面地影響系統作為一個整體, 并且應當提供足夠地控制. 例如, 會影響全局資源的設備操作( 例如設置一條中斷線 ), 可能會損壞硬件( 例如, 加載固件 ), 或者它可能會影響其他用戶( 例如設置一個磁帶驅動的缺省的塊大小 ), 常常是只對有足夠授權的用戶, 并且這種檢查必須由驅動自身進行.
驅動編寫者也必須要小心, 當然, 來避免引入安全 bug. C 編程語言使得易于犯下幾類的錯誤. 例如, 許多現今的安全問題是由于緩沖區覆蓋引起, 它是由于程序員忘記檢查有多少數據寫入緩沖區, 數據在緩沖區結尾之外結束, 因此覆蓋了無關的數據. 這樣的錯誤可能會危及整個系統的安全, 必須避免. 幸運的是, 在設備驅動上下文中避免這樣的錯誤經常是相對容易的, 這里對用戶的接口經過精細定義并被高度地控制.
一些其他的通用的安全觀念也值得牢記. 任何從用戶進程接收的輸入應當以極大的懷疑態度來對待; 除非你能核實它, 否則不要信任它. 小心對待未初始化的內存; 從內核獲取的任何內存應當清零或者在其對用戶進程或設備可用之前進行初始化. 否則, 可能發生信息泄漏( 數據, 密碼的暴露等等 ). 如果你的設備解析發送給它的數據, 要確保用戶不能發送任何能危及系統的東西. 最后, 考慮一下設備操作的可能后果; 如果有特定的操作( 例如, 加載一個適配卡的固件或者格式化一個磁盤 ), 能影響到系統的, 這些操作應該完全確定地要限制在授權的用戶中.
也要小心, 當從第三方接收軟件時, 特別是與內核有關: 因為每個人都可以接觸到源碼, 每個人都可以分拆和重組東西. 盡管你能夠信任在你的發布中的預編譯的內核, 你應當避免運行一個由不能信任的朋友編譯的內核 -- 如果你不能作為 root 運行預編譯的二進制文件, 那么你最好不要運行一個預編譯的內核. 例如, 一個經過了惡意修改的內核可能會允許任何人加載模塊, 這樣就通過 init_module 開啟了一個不想要的后門.
注意, Linux 內核可以編譯成不支持任何屬于模塊的東西, 因此關閉了任何模塊相關的安全漏洞. 在這種情況下, 當然, 所有需要的驅動必須直接建立到內核自身內部. 在 2.2 和以后的內核, 也可以在系統啟動之后, 通過 capability 機制來禁止內核模塊的加載.
[[1](#)] 從技術上講, 只有具有 CAP_SYS_MODULE 權利的人才可以進行這個操作. 我們第 6 章討論 capabilities .
- Linux設備驅動第三版
- 第 1 章 設備驅動簡介
- 1.1. 驅動程序的角色
- 1.2. 劃分內核
- 1.3. 設備和模塊的分類
- 1.4. 安全問題
- 1.5. 版本編號
- 1.6. 版權條款
- 1.7. 加入內核開發社團
- 1.8. 本書的內容
- 第 2 章 建立和運行模塊
- 2.1. 設置你的測試系統
- 2.2. Hello World 模塊
- 2.3. 內核模塊相比于應用程序
- 2.4. 編譯和加載
- 2.5. 內核符號表
- 2.6. 預備知識
- 2.7. 初始化和關停
- 2.8. 模塊參數
- 2.9. 在用戶空間做
- 2.10. 快速參考
- 第 3 章 字符驅動
- 3.1. scull 的設計
- 3.2. 主次編號
- 3.3. 一些重要數據結構
- 3.4. 字符設備注冊
- 3.5. open 和 release
- 3.6. scull 的內存使用
- 3.7. 讀和寫
- 3.8. 使用新設備
- 3.9. 快速參考
- 第 4 章 調試技術
- 4.1. 內核中的調試支持
- 4.2. 用打印調試
- 4.3. 用查詢來調試
- 4.4. 使用觀察來調試
- 4.5. 調試系統故障
- 4.6. 調試器和相關工具
- 第 5 章 并發和競爭情況
- 5.1. scull 中的缺陷
- 5.2. 并發和它的管理
- 5.3. 旗標和互斥體
- 5.4. Completions 機制
- 5.5. 自旋鎖
- 5.6. 鎖陷阱
- 5.7. 加鎖的各種選擇
- 5.8. 快速參考
- 第 6 章 高級字符驅動操作
- 6.1. ioctl 接口
- 6.2. 阻塞 I/O
- 6.3. poll 和 select
- 6.4. 異步通知
- 6.5. 移位一個設備
- 6.6. 在一個設備文件上的存取控制
- 6.7. 快速參考
- 第 7 章 時間, 延時, 和延后工作
- 7.1. 測量時間流失
- 7.2. 獲知當前時間
- 7.3. 延后執行
- 7.4. 內核定時器
- 7.5. Tasklets 機制
- 7.6. 工作隊列
- 7.7. 快速參考
- 第 8 章 分配內存
- 8.1. kmalloc 的真實故事
- 8.2. 后備緩存
- 8.3. get_free_page 和其友
- 8.4. 每-CPU 的變量
- 8.5. 獲得大量緩沖
- 8.6. 快速參考
- 第 9 章 與硬件通訊
- 9.1. I/O 端口和 I/O 內存
- 9.2. 使用 I/O 端口
- 9.3. 一個 I/O 端口例子
- 9.4. 使用 I/O 內存
- 9.5. 快速參考
- 第 10 章 中斷處理
- 10.1. 準備并口
- 10.2. 安裝一個中斷處理
- 10.3. 前和后半部
- 10.4. 中斷共享
- 10.5. 中斷驅動 I/O
- 10.6. 快速參考
- 第 11 章 內核中的數據類型
- 11.1. 標準 C 類型的使用
- 11.2. 安排一個明確大小給數據項
- 11.3. 接口特定的類型
- 11.4. 其他移植性問題
- 11.5. 鏈表
- 11.6. 快速參考
- 第 12 章 PCI 驅動
- 12.1. PCI 接口
- 12.2. 回顧: ISA
- 12.3. PC/104 和 PC/104+
- 12.4. 其他的 PC 總線
- 12.5. SBus
- 12.6. NuBus 總線
- 12.7. 外部總線
- 12.8. 快速參考
- 第 13 章 USB 驅動
- 13.1. USB 設備基礎知識
- 13.2. USB 和 sysfs
- 13.3. USB 的 Urbs
- 13.4. 編寫一個 USB 驅動
- 13.5. 無 urb 的 USB 傳送
- 13.6. 快速參考
- 第 14 章 Linux 設備模型
- 14.1. Kobjects, Ksets 和 Subsystems
- 14.2. 低級 sysfs 操作
- 14.3. 熱插拔事件產生
- 14.4. 總線, 設備, 和驅動
- 14.5. 類
- 14.6. 集成起來
- 14.7. 熱插拔
- 14.8. 處理固件
- 14.9. 快速參考
- 第 15 章 內存映射和 DMA
- 15.1. Linux 中的內存管理
- 15.2. mmap 設備操作
- 15.3. 進行直接 I/O
- 15.4. 直接內存存取
- 15.5. 快速參考
- 第 16 章 塊驅動
- 16.1. 注冊
- 16.2. 塊設備操作
- 16.3. 請求處理
- 16.4. 一些其他的細節
- 16.5. 快速參考
- 第 17 章 網絡驅動
- 17.1. snull 是如何設計的
- 17.2. 連接到內核
- 17.3. net_device 結構的詳情
- 17.4. 打開與關閉
- 17.5. 報文傳送
- 17.6. 報文接收
- 17.7. 中斷處理
- 17.8. 接收中斷緩解
- 17.9. 連接狀態的改變
- 17.10. Socket 緩存
- 17.11. MAC 地址解析
- 17.12. 定制 ioctl 命令
- 17.13. 統計信息
- 17.14. 多播
- 17.15. 幾個其他細節
- 17.16. 快速參考
- 第 18 章 TTY 驅動
- 18.1. 一個小 TTY 驅動
- 18.2. tty_driver 函數指針
- 18.3. TTY 線路設置
- 18.4. ioctls 函數
- 18.5. TTY 設備的 proc 和 sysfs 處理
- 18.6. tty_driver 結構的細節
- 18.7. tty_operaions 結構的細節
- 18.8. tty_struct 結構的細節
- 18.9. 快速參考