1.4. 安全問題 · Linux 設備驅動 (第三版)

## 1.4.?安全問題安全是當今重要性不斷增長的關注點. 我們將討論安全相關的問題, 在它們在本書中出現時. 有幾個通用的概念, 卻值得現在提一下. 系統中任何安全檢查都由內核代碼強加上去. 如果內核有安全漏洞, 系統作為一個整體就有漏洞. 在官方的內核發布里, 只有一個有授權的用戶可以加載模塊; 系統調用 init_module 檢查調用進程是否是有權加載模塊到內核里. 因此, 當運行一個官方內核時, 只有超級用戶[[1](#)]或者一個成功獲得特權的入侵者, 才可以利用特權代碼的能力. 在可能時, 驅動編寫者應當避免將安全策略編到他們的代碼中. 安全是一個策略問題, 最好在內核高層來處理, 在系統管理員的控制下. 但是, 常有例外. 作為一個設備驅動編寫者, 你應當知道在什么情形下, 某些類型的設備存取可能反面地影響系統作為一個整體, 并且應當提供足夠地控制. 例如, 會影響全局資源的設備操作( 例如設置一條中斷線 ), 可能會損壞硬件( 例如, 加載固件 ), 或者它可能會影響其他用戶( 例如設置一個磁帶驅動的缺省的塊大小 ), 常常是只對有足夠授權的用戶, 并且這種檢查必須由驅動自身進行. 驅動編寫者也必須要小心, 當然, 來避免引入安全 bug. C 編程語言使得易于犯下幾類的錯誤. 例如, 許多現今的安全問題是由于緩沖區覆蓋引起, 它是由于程序員忘記檢查有多少數據寫入緩沖區, 數據在緩沖區結尾之外結束, 因此覆蓋了無關的數據. 這樣的錯誤可能會危及整個系統的安全, 必須避免. 幸運的是, 在設備驅動上下文中避免這樣的錯誤經常是相對容易的, 這里對用戶的接口經過精細定義并被高度地控制. 一些其他的通用的安全觀念也值得牢記. 任何從用戶進程接收的輸入應當以極大的懷疑態度來對待; 除非你能核實它, 否則不要信任它. 小心對待未初始化的內存; 從內核獲取的任何內存應當清零或者在其對用戶進程或設備可用之前進行初始化. 否則, 可能發生信息泄漏( 數據, 密碼的暴露等等 ). 如果你的設備解析發送給它的數據, 要確保用戶不能發送任何能危及系統的東西. 最后, 考慮一下設備操作的可能后果; 如果有特定的操作( 例如, 加載一個適配卡的固件或者格式化一個磁盤 ), 能影響到系統的, 這些操作應該完全確定地要限制在授權的用戶中. 也要小心, 當從第三方接收軟件時, 特別是與內核有關: 因為每個人都可以接觸到源碼, 每個人都可以分拆和重組東西. 盡管你能夠信任在你的發布中的預編譯的內核, 你應當避免運行一個由不能信任的朋友編譯的內核 -- 如果你不能作為 root 運行預編譯的二進制文件, 那么你最好不要運行一個預編譯的內核. 例如, 一個經過了惡意修改的內核可能會允許任何人加載模塊, 這樣就通過 init_module 開啟了一個不想要的后門. 注意, Linux 內核可以編譯成不支持任何屬于模塊的東西, 因此關閉了任何模塊相關的安全漏洞. 在這種情況下, 當然, 所有需要的驅動必須直接建立到內核自身內部. 在 2.2 和以后的內核, 也可以在系統啟動之后, 通過 capability 機制來禁止內核模塊的加載. [[1](#)] 從技術上講, 只有具有 CAP_SYS_MODULE 權利的人才可以進行這個操作. 我們第 6 章討論 capabilities .