arm64 UAO/PAN 特性对用户空间边界读写的影响(copy_from/to_user)

原创 已于 2024-01-02 22:31:55 修改 · 2.4k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #arm64 #armv-8.1/8.2 #UAO/PAN

于 2024-01-02 22:31:43 首次发布
本文详细解释了UAO和PAN特性如何通过限制地址空间范围和特权访问,增强Linuxarm64系统中内核与用户空间的数据交换安全,以及它们在硬件和软件层面的具体实现和应用,特别提到bpf_probe_read_kernel与bpf_probe_read_user之间的区别。

文章目录

1 UAO/PAN 特性由来

linux 内核空间与用户空间通过 copy_from/to_user 进行数据拷贝交换,而不是通过简单的 memcpy/strcpy 进行拷贝复制,原因是安全问题(这里不详细展开)。

而对应内核有 __probe_kernel_read/__probe_user_read读取用户空间数据,该类接口在用户空间地址存在问题时内核读取用户空间不会导致内核系统出现问题。

那么 __probe_kernel_read和__probe_user_read 具体区别在哪里呢?通过源码可以看到具体区别只有一处:
__probe_kenel_read中设置 addr_limit 为 set_fs(KERNEL_DS),而 __probe_user_read 中设置 addr_limit 为 set_fs(USER_DS),首先需要说明每个任务的 thread 结构中都有一个
addr_limit 变量,该变量标记了该任务能访问的内核空间代码范围,比如内核线程都为addr_limit == KERNEL_DS 表明可以访问任意内核和用户空间地址,而用户态程序 addr_limit == USER_DS 表明只能访问用户空间地址,不能访问内核空间地址,当然在执行一些特殊操作时可以通过 set_fs(KERNEL_DS) 让用户态程序进入内核后可以访问内核地址空间,不过在访问完后会恢复原来的值,对于 arm64 还会在 set_fs 中会设置 set_thread_flag(TIF_FSCHECK)标记,作用是在返回用户空间时检查 addr_limit 是否恢复为 USER_DS。关于 USER_DS 和 KERNEL_DS 可以看内核中 asm/uaccess.h 中相关定义。

总之在这里两个函数会限制访问的地址空间范围,这里再看看 arm64 对 set_fs 的实现:

static inline void set_fs(mm_segment_t fs)
{
   
   
	current_thread_info()->addr_limit = fs;

	/*
	 * Prevent a mispredicted conditional call to set_fs from forwarding
	 * the wrong address limit to access_ok under speculation.
	 */
	spec_bar();

	/* On user-mode return, check fs is correct */
	set_thread_flag(TIF_FSCHECK);

	/*
	 * Enable/disable UAO so that copy_to_user() etc can access
	 * kernel memory with the unprivileged instructions.
	 */
	if (IS_ENABLED(CONFIG_ARM64_UAO) && fs == KERNEL_DS) --------------------------------------------(1)
		asm(ALTERNATIVE("nop", <
最低0.47元/天 解锁文章
ARMv8/v9 异常模型入门及渐进 3 - ARM64 Process State介绍】
CodingCos的博客
11-14 1731
指令能访问EL1/2特权等级下的内存空间了,不然的话,它们是在EL0的,进入异常后就会置位UAO,相反,它会被置0。通用在ARMv7中使用的是CPSR寄存器来描述处理器的状态,只不过在ARMv8-A中已经取消了CPSR寄存器。异常,可以为这在本质上是一个保护,主要是硬件自动动作过程中置的位(也可以人工置位),其清除是自动的。: 置1后,效用是EL0通过虚拟内存地址能访问的特权数据(原本是EL1/EL2特权数据)。位置位的情况,就是返回时复制到PSTATE的(恢复现场?的各个域,比如可以直接使用。
ARM64体系结构编程与实践:基础知识
人邮异步社区
03-30 5071
1 ARM介绍 ARM公司主要向客户提供处理器IP。通过这种独特的盈利模式,ARM软硬件生态变得越来越强大。表1.1展示了ARM公司重大的历史事件。 表1.1 ARM公司重大的历史事件 时  间 重 大 事 件 1978年 在英国剑桥创办了CPU(Cambridge Processing Unit)公司 1985年 第一款ARM处理器问世,它采用RISC架构,简称ARM(Acorn RIS
arm64内核进程创建从内核态到用户态过程分析。
gjioui123的博客
12-15 2037
第一:sp的值 init_thread_union+#THREAD_SIZE大小地址。第二:sp_el0的值init_task的地址。可知sp_el0 指向task_struct。THEAD_SIZE 是内核栈的大小。最终最早的第一个进程。
Arch64 寄存器
weixin_47191387的博客
08-14 1612
AArch64支持3164位的通用寄存器即X0-X30。其中传递参数用X0-X7寄存器,X29为栈帧寄存器FP,X30为链接寄存器LR。可以是用X来表示64位数据,用W来表示低32位数据。
Linux copy_from_user
最新发布
sainty07的博客
09-12 373
Linux 内核提供的一个关键函数,用于从用户空间复制数据到内核空间。由于内核与用户空间的内存隔离机制,直接访问用户空间指针可能导致安全问题或崩溃,因此需要使用专门的函数进行安全复制。通常用于系统调用或设备驱动程序中,当内核需要读取用户空间传递的数据时(如文件读写、IOCTL 参数等)。该函数最终通过架构相关的汇编实现(如 x86 的。返回值:未成功复制的字节数(0 表示完全成功)。),并包含页错误处理和信号保护机制。
copy_from_user copy_to_user的权限控制
faxiang1230的专栏
05-07 1018
linux中核心的一个概念就是特权级别,用户地址空间使用ring 0,内核地址空间使用ring 3,内核空间管理系统中所有的资源和设备,应用只能通过系统调用陷入到内核空间向其发出请求,由内核来代为完成对硬件资源的操作。另外一个是内核不能随意访问用户空间的数据,这里传达了两个信息:内核可以访问用户空间,内核只能通过特定的api完成对用户空间数据的访问。 虽然在页表项中有标志位记录当前的ring 状...
copy_to_usercopy_from_user
joker0910的专栏
07-15 3527
copy_from_user函数目的是从用户空间拷贝数据到内核空间,失败返回没有被拷贝的字节数,成功返回0
copy_from_user 详解
热门推荐
ying_seven的专栏
11-11 5万+
copy_from_user函数的目的是从用户空间拷贝数据到内核空间,失败返回没有被拷贝的字节数,成功返回0. 这么简单的一个函数却含盖了许多关于内核方面的知识,比如内核关于异常出错的处理.用户空间拷贝 数据到内核中时必须很小心,假如用户空间的数据地址是个非法的地址,或是超出用户空间的范围,或是 那些地址还没有被映射到,都可能对内核产生很大的影响,如oops,或被造成系统安全的影响.所以
ARM PAC UAO
01-15
### 关于 ARM PAC (Pointer Authentication Code)UAO (User Access Override) #### ARM PAC (Pointer Authentication Code) ARM架构引入了指针认证技术(PAC),用于增强系统的安全性。PAC通过在返回地址上附加...
copy_from_user
human!的专栏
07-09 384
关于在驱动中 copy_to_user 与memcpy的区别,参考下面文章就可以了。 https://www.zhihu.com/people/smcdef-74 但是上面的文章,有个地方说的不太清楚, 比如说 driver中用copy_to_user时,将数据传入user层提供的地址,user提供的是非法的地址时,是不会引发引发内核 oops,用户层的read函数仅仅是返回 "bad address"信息,这是如何做到的呢? 这就关系到了内核的 fixup功能。 ...
copy_from_user | copy_to_user and so on
hanwei_1049的专栏
03-15 2385
字符设备驱动驱动的读,写。如:ssize_t xxx_read(struct file *filp, char __user *buf, size_t count, loff_t *f_pos);ssize_t xxx_write(struct file *filp, const char __user *buf, size_t count, loff_t *f_pos);等函数中,filp是文件
copy_from_user函数的使用
qq_35399548的博客
04-09 2093
访问用户态内存 copy_from_usercopy_to_user这两个函数相信做内核开发的人都非常熟悉,分别是将用户空间的数据拷贝到内核空间以及将内核空间中的数据拷贝到用户空间copy_from_user函数的功能就不只是从用户空间拷贝数据那样简单了,它还要做一些指针检查以及处理这些问题的方法 来自 https://blog.csdn.net/u013750244/article/details/108021600?utm_medium=distribute.pc_relevant.none-ta
linuxcopy_to_user/copy_from_user
weixin_41028621的博客
08-05 1308
了解linux内核中的copy_to_usercopy_from_user。 内核 2.6.12 1.copy_from_user   copy_from_usercopy_to_user函数负责在用户空间和内核空间传递数据。 copy_from_user(linux/include/asm-arm/uaccess.h) static inline unsigned long copy_from_user(void *to, const void __user *from, unsigned .
linux驱动开发--copy_to_usercopy_from_user函数实现内核空间数据与用户空间数据的相互访问
吴英强的技术博客
12-30 1万+
设备读操作 如果该操作为空,将使得read系统调用返回负EINVAL失败,正常返回实际读取的字节数 ssize_t (*read)(struct file *filp, char __user *buf, size_t  count, lofft *f_pos); filp:待操作的设备文件file结构体指针 buf:待写入所读取数据的用户空间缓冲区指针 count:待读取数据字节数
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值