عقدت
القمة الأوروبية
مفتوحة المصدر 2018 الأسبوع الماضي في إدنبره ، اسكتلندا. أقدم لكم مجموعة مختارة من التقارير المثيرة للاهتمام حول نواة لينكس التي تمكنت من حضورها.
1. من بين الكلمات الرئيسية ، أود أن أذكر تقرير Kernel لجوناثان كوربيت. ولخص اتجاهات التطور الرئيسية لنواة لينكس في السنوات الأخيرة. بشكل منفصل ، ركز على القضاء على نقاط الضعف المثيرة لـ Spectre و Meltdown. لقد وجدت أفكاره مثيرة للاهتمام حول كيفية طمس eBPF الحدود بين مساحة المستخدم والنواة.
2. قام متخصصون من OTH Regensburg و Siemens بتطوير موضوع Spectre و Meltdown فيما يتعلق بالمهام في الوقت الفعلي. تحدثوا عن كيفية تأثير إصلاح هذه الثغرات الأمنية على أداء نواة لينكس مع تصحيح Preempt-RT وأداء برنامج Jailhouse hypervisor.
3. قدم كريستوف لامتر مقدمة ممتازة لإدارة ذاكرة نواة لينكس. تحدث عن تنظيم الذاكرة الفعلية والافتراضية للعملية ، حول كيفية تتبع وضعهم بالتفصيل من مساحة المستخدم. باختصار ، وضع كل شيء على الرفوف بشكل مثالي. وكيف يمكن لأداء مشرف التخصيص النووي أداء آخر؟ الشرائح:
4. دعني أخبرك أيضًا عن تقريري عن دروس المشاركة في مشروع Kernel للحماية الذاتية. كان الغرض من التقرير هو إشراك المزيد من المتحمسين في أمان Linux kernel ومشاركة تجربتي في تطوير أدوات حماية kernel. تحدثت عن مواءمة القوات في المجتمع الأمني
وخريطة أدوات الدفاع عن النفس الأساسية . بعد ذلك ، حول منع التخصيص المزدوج للذاكرة في نواة Linux والعمل على تقديم PAX_MEMORY_STACKLEAK في نواة الفانيليا. بعد التقرير ، تبع ذلك تواصل مفيد وتبادل الأفكار. الشرائح:
5. دارين هارت تحدث عن ترتيب نواة لينكس مع Kconfig باستخدام أجزاء التكوين. للنواة أكثر من 10000 خيار مختلف ، فهي تعتمد على بعضها البعض بطريقة معقدة ، لذلك من غير المناسب تتبع التغييرات في تكوين النواة باستخدام نظام التحكم في الإصدار. من أجل تسهيل مهمة إدارة التكوين ، تم إدخال البرنامج النصي merge_config.sh من مشروع Yocto إلى نواة الفانيليا ، مما يسمح لك بالعمل مع أجزاء التكوين. أخبر دارين كيفية استخدامه.
6. أجرى ويل ديكون حديثًا ممتازًا ومعقدًا عن بدائل نواة لينكس التي تحدد ترتيب عمليات الإدخال / الإخراج و DMA. بدأ بوصف نموذج رسمي لذاكرة kernel ، واستعرض حواجز الذاكرة العادية ، ثم انتقل إلى دلالات حواجز الإدخال / الإخراج. حافظت طريقته الممتازة في التحدث على تركيز الجمهور حتى النهاية.
7. تحدث لوكاس بولوان من شركة BMW عن المشروع البحثي
SIL2LinuxMP ، والذي شاركت فيه أيضًا هذا العام. يستكشف هذا المشروع إمكانية استخدام Linux في أنظمة ذات أنظمة أمان متزايدة. بادئ ذي بدء ، شرح لوكاس مفهوم الموثوقية من وجهة نظر هندسية ، ثم تحدث عن الجوانب التقنية والتنظيمية لمشروع SIL2LinuxMP ، الذي يشمل عددًا من شركات التصنيع الكبيرة ، وأفراد من المجتمع الأكاديمي وخبراء مستقلين.
8. تحدث ماثيو جاريت ، الذي يعمل مؤخرًا في Google ، عن سلسلة من التصحيحات تسمى
Kernel Lockdown . الفكرة جيدة جدًا - من الضروري أن تكون قادرًا على حماية النواة من المستخدم الفائق ، على سبيل المثال ، حتى لا يتمكن من وضع الجذور الخفية. هذا ما تقوم به نواة Windows منذ فترة طويلة. اتضح أن جميع توزيعات Linux الرئيسية يتم شحنها بالفعل مع Kernel Lockdown. ومع ذلك ، لا تزال هذه السلسلة من البقع في قلب الفانيليا ، كما أوضح ماثيو الخلفية السياسية لهذه الحقيقة.
9. في منتدى KVM ، حضرت عرضًا تقديميًا ممتازًا حول نموذج أمان QEMU. وصف ستيفان هاجنوتشي هندسة المحاكاة الافتراضية القائمة على QEMU / KVM ، محيط الهجوم لمكوناته وطرق الحد منه. الشرائح:
10. أجرى جريج كروا هارتمان حديثًا حادًا حول كيفية القضاء على مجتمع نواة Linux الخيارات المتعددة لـ Meltdown و Specter ، وكيفية تصرف Intel ، والدروس المستفادة من القصة بأكملها ، وماذا يجب أن نتوقع في المستقبل. لسبب ما ، لا توجد شرائح أو مقاطع فيديو في المجال العام ، ولكن لا بد لي من ذكر خطابه.
11. أريد أيضًا أن أتحدث عن تقرير Knut Omang (Knut Omang) حول نظام اختبار الوحدة لنواة Linux. أنا حقا أحب أداءه والعمل نفسه. يعمل مكبر الصوت في Oracle ، ولسوء الحظ ، تم تكليفه بمهمة دعم بعض محركات kernel Linux المكونة من 20000 سطر. هذا السائق ذو نوعية رديئة للغاية ولا يناسب نواة الفانيليا. ومع ذلك ، توفر Oracle ذلك ، وتحتاج إلى الحفاظ على هذا الرمز. لكن كنوت لم ييأس ، قرر تصحيح الوضع بشكل منهجي بمساعدة التطوير القائم على الاختبار واختبارات الوحدة. تحدث المتحدث عن
إطار اختبار Kernel ، الذي يقوم بتطويره لهذا الغرض.
12. وأخيرًا ، سأتحدث عن تقرير Kees Cook السنوي عن حالة مشروع Kernel للحماية الذاتية (KSPP). فكرة المشروع هي أن أمن نظام التشغيل هو أكثر من مجرد إصلاح الأخطاء في التعليمات البرمجية ومشاركة الوصول إلى الموارد. يجب أن ينفذ نظام التشغيل بأمان في حالة حدوث خطأ أو محاولة هجوم. لذلك ، تهدف KSPP إلى القضاء على فئات كاملة من نقاط الضعف وطرق الاستغلال في نواة الفانيليا لينكس. كايس كوك هي الرائدة في هذا المشروع وأيضًا المشرف على عدد من الأنظمة الفرعية النووية. في خطابه ، قدم لمحة عامة عن نتائج KSPP من إصدار النواة 4.14 إلى 4.20. الشرائح:
هل لديك منظر جميل!