Le
Sommet européen
Open Source 2018 s'est tenu la semaine dernière à Édimbourg, en Écosse. Je vous présente une sélection de rapports intéressants sur le noyau Linux auxquels j'ai pu assister.
1. Parmi les discours d'ouverture (keynotes), je voudrais souligner «The Kernel Report» de Jonathan Corbet. Il a décrit les principales tendances de développement du noyau Linux ces dernières années. Par ailleurs, il s'est concentré sur l'élimination des vulnérabilités sensationnelles de Spectre et Meltdown. J'ai trouvé ses réflexions intéressantes sur la façon dont eBPF brouille les frontières entre l'espace utilisateur et l'espace noyau.
2. Des spécialistes de OTH Regensburg et Siemens ont développé le thème Spectre et fusion en relation avec les tâches en temps réel. Ils ont expliqué comment la correction de ces vulnérabilités affectait les performances du noyau Linux avec le correctif Preempt-RT et les performances de l'hyperviseur Jailhouse.
3. Christoph Lameter a fait une excellente introduction à la gestion de la mémoire du noyau Linux. Il a parlé de l'organisation de la mémoire physique et virtuelle du processus, de la façon de suivre en détail leur statut depuis l'espace utilisateur. Bref, parfaitement disposé tout sur les étagères. Et comment un mainteneur d'allocateur nucléaire peut-il fonctionner autrement? Diapositives:
4. Permettez-moi également de vous parler de mon rapport sur les leçons de la participation au Kernel Self Protection Project. Le but du rapport était d'engager plus de passionnés de la sécurité du noyau Linux et de partager mon expérience dans le développement d'outils de protection du noyau. J'ai parlé de l'alignement des forces dans la communauté de la sécurité et de la
carte des principaux outils d'autodéfense . Ensuite, sur le blocage de la désallocation de double mémoire dans le noyau Linux et travaillez sur l'introduction de PAX_MEMORY_STACKLEAK dans le noyau vanilla. Après le rapport, une communication utile et un échange d'idées ont suivi. Diapositives:
5. Darren Hart a parlé de nettoyer le noyau Linux avec Kconfig en utilisant des fragments de configuration. Le noyau a plus de 10 000 options différentes, elles dépendent les unes des autres de manière complexe, il est donc très gênant de suivre les modifications apportées à la configuration du noyau à l'aide du système de contrôle de version. Afin de faciliter la tâche de gestion de la configuration, le script merge_config.sh a été introduit du projet Yocto au noyau vanilla, ce qui vous permet de travailler avec des fragments de configuration. Darren a expliqué comment l'utiliser.
6. Will Deacon a fait un exposé excellent et complexe sur les primitives du noyau Linux qui définissent l'ordre des opérations d'E / S et DMA. Il a commencé par décrire un modèle formel de mémoire du noyau, a passé en revue les barrières de mémoire régulières, puis est passé à la sémantique des barrières d'E / S. Son excellente façon de parler a gardé le public concentré jusqu'à la fin.
7. Lukas Bulwahn de BMW a beaucoup parlé du projet de recherche
SIL2LinuxMP , auquel j'ai également participé cette année. Ce projet explore la possibilité d'utiliser Linux dans des systèmes avec des systèmes critiques pour la sécurité. Tout d'abord, Lucas a expliqué le concept de fiabilité d'un point de vue technique, puis a parlé des aspects techniques et organisationnels du projet SIL2LinuxMP, qui implique un certain nombre de grandes entreprises manufacturières, des membres de la communauté universitaire et des experts indépendants.
8. Matthew Garrett, qui travaille récemment chez Google, a parlé d'une série de correctifs appelés
Kernel Lockdown . L'idée est très bonne - il faut par exemple pouvoir protéger le noyau du superutilisateur pour qu'il ne puisse pas mettre le rootkit. Le noyau Windows le fait donc depuis longtemps. Il s'avère que toutes les principales distributions Linux sont déjà livrées avec Kernel Lockdown. Cependant, cette série de patchs n'est toujours pas dans le noyau vanille, et Matthew a également expliqué le contexte politique de ce fait.
9. Lors du forum KVM, j'ai assisté à une excellente présentation sur le modèle de sécurité QEMU. Stefan Hajnoczi a décrit l'architecture de virtualisation basée sur QEMU / KVM, le périmètre d'attaque de ses composants et les moyens de le réduire. Diapositives:
10. Greg Kroah-Hartman a fait un discours fervent sur la façon dont la communauté du noyau Linux a éliminé les différentes options de Meltdown et Spectre, comment Intel s'est comporté, quelles leçons ont été tirées de toute l'histoire et à quoi devrions-nous nous attendre à l'avenir. Pour une raison quelconque, il n'y a pas de diapositives ou de vidéos dans le domaine public, mais je dois juste mentionner son discours.
11. Je voudrais également parler du rapport de Knut Omang (Knut Omang) sur le système de test unitaire pour le noyau Linux. J'ai vraiment aimé sa performance et le travail lui-même. Le conférencier travaille dans Oracle et, malheureusement, il a été chargé de prendre en charge un pilote de noyau Linux de 20 000 lignes. Ce pilote est de très mauvaise qualité et ne convient pas au noyau vanilla. Cependant, Oracle le fournit et vous devez conserver ce code. Mais Knut ne désespérait pas, il a décidé de rectifier systématiquement la situation à l'aide d'un développement piloté par les tests et de tests unitaires. L'orateur a parlé du
Kernel Test Framework , qu'il développe pour cela.
12. Enfin, je parlerai du rapport annuel de Kees Cook sur l’état d’avancement du projet d’autoprotection du noyau (KSPP). L'idée du projet est que la sécurité du système d'exploitation va au-delà de la simple correction des erreurs dans le code et du partage de l'accès aux ressources. Le système d'exploitation doit s'exécuter en toute sécurité en cas d'erreur ou de tentative d'attaque. Par conséquent, KSPP vise à éliminer des classes entières de vulnérabilités et de méthodes d'exploitation dans le noyau Linux vanilla. Case Cook est le chef de file de ce projet et également le mainteneur de plusieurs sous-systèmes nucléaires. Dans son discours, il a donné un aperçu des résultats KSPP de la version 4.14 à 4.20 du noyau. Diapositives:
Ayez une belle vue!