KTT Open Source Eropa
2018 diadakan minggu lalu di Edinburgh, Skotlandia. Saya menyajikan kepada Anda sejumlah laporan menarik tentang kernel Linux yang telah saya hadiri.
1. Di antara pidato utama (keynotes) saya ingin memilih βThe Kernel Reportβ oleh Jonathan Corbet. Dia menguraikan tren pengembangan utama dari kernel Linux dalam beberapa tahun terakhir. Secara terpisah, ia fokus pada menghilangkan kerentanan sensasional Specter dan Meltdown. Saya menemukan pemikirannya menarik tentang bagaimana eBPF mengaburkan batas antara ruang pengguna dan kernel.
2. Spesialis dari OTH Regensburg dan Siemens telah mengembangkan tema Specter dan Meltdown dalam kaitannya dengan tugas real-time. Mereka berbicara tentang bagaimana cara memperbaiki kerentanan ini mempengaruhi kinerja kernel Linux dengan patch Preempt-RT dan kinerja hypervisor Jailhouse.
3. Christoph Lameter membuat pengantar yang bagus untuk manajemen memori kernel Linux. Dia berbicara tentang pengaturan memori fisik dan virtual dari proses tersebut, tentang bagaimana melacak secara terperinci status mereka dari ruang pengguna. Singkatnya, semuanya ditata dengan sempurna di rak. Dan bagaimana lagi yang bisa dilakukan oleh pengelola alokator nuklir? Slide:
4. Biarkan saya juga memberi tahu Anda tentang laporan saya tentang pelajaran partisipasi dalam Proyek Perlindungan Diri Kernel. Tujuan dari laporan ini adalah untuk melibatkan lebih banyak penggemar dalam keamanan kernel Linux dan berbagi pengalaman saya dalam mengembangkan alat perlindungan kernel. Saya berbicara tentang penyelarasan pasukan di komunitas keamanan dan
peta alat pertahanan diri inti . Kemudian, tentang memblokir deallokasi memori ganda di kernel Linux dan bekerja untuk memperkenalkan PAX_MEMORY_STACKLEAK ke dalam vanilla kernel. Setelah laporan, komunikasi yang bermanfaat dan pertukaran ide diikuti. Slide:
5. Darren Hart berbicara tentang merapikan kernel Linux dengan Kconfig menggunakan fragmen konfigurasi. Kernel memiliki lebih dari 10.000 opsi yang berbeda, mereka bergantung satu sama lain dengan cara yang rumit, sehingga sangat tidak nyaman untuk melacak perubahan pada konfigurasi kernel menggunakan sistem kontrol versi. Untuk memfasilitasi tugas manajemen konfigurasi, skrip merge_config.sh diperkenalkan dari proyek Yocto ke kernel vanilla, yang memungkinkan bekerja dengan fragmen konfigurasi. Darren memberi tahu bagaimana cara menggunakannya.
6. Will Deacon membuat pembicaraan yang sangat baik dan kompleks tentang primitif kernel Linux yang mengatur urutan operasi I / O dan DMA. Dia mulai dengan menggambarkan model formal memori kernel, meninjau hambatan memori reguler, dan kemudian pindah ke semantik hambatan I / O. Cara bicaranya yang sangat baik membuat penonton tetap fokus sampai akhir.
7. Lukas Bulwahn dari BMW berbicara banyak tentang proyek penelitian
SIL2LinuxMP , di mana saya juga berpartisipasi tahun ini. Proyek ini sedang menjajaki kemungkinan menggunakan Linux dalam sistem dengan peningkatan sistem keamanan kritis. Pertama-tama, Lucas menjelaskan konsep keandalan dari sudut pandang teknik, kemudian berbicara tentang aspek teknis dan organisasi dari proyek SIL2LinuxMP, yang melibatkan sejumlah perusahaan manufaktur besar, orang-orang dari komunitas akademik dan pakar independen.
8. Matthew Garrett, yang baru-baru ini bekerja di Google, berbicara tentang serangkaian tambalan yang disebut
Kernel Lockdown . Idenya sangat baik - perlu untuk dapat melindungi kernel dari superuser, misalnya, sehingga dia tidak bisa meletakkan rootkit. Jadi kernel Windows telah melakukan ini sejak lama. Ternyata semua distribusi Linux utama sudah disertakan dengan Kernel Lockdown. Namun, rangkaian tambalan ini masih belum ada dalam inti vanila, dan Matius juga menjelaskan latar belakang politik dari fakta ini.
9. Di forum KVM, saya menghadiri presentasi yang sangat baik tentang model keamanan QEMU. Stefan Hajnoczi menggambarkan arsitektur virtualisasi berdasarkan QEMU / KVM, batas serangan untuk komponennya dan cara untuk menguranginya. Slide:
10. Greg Kroah-Hartman membuat pembicaraan yang giat tentang bagaimana komunitas kernel Linux menghilangkan Meltdown dan Specter berbagai pilihan, bagaimana perilaku Intel, pelajaran apa yang dipelajari dari keseluruhan cerita, dan apa yang harus kita harapkan di masa depan. Untuk beberapa alasan, tidak ada slide atau video di domain publik, tapi saya hanya perlu menyebutkan pidatonya.
11. Saya juga ingin berbicara tentang laporan Knut Omang (Knut Omang) tentang sistem unit-test untuk kernel Linux. Saya sangat menyukai penampilannya dan pekerjaan itu sendiri. Pembicara bekerja di Oracle dan, sayangnya, ia diberi tugas mendukung sekitar 20.000 driver kernel Linux. Driver ini berkualitas sangat buruk dan tidak cocok untuk kernel vanilla. Namun, Oracle menyediakannya, dan Anda perlu mempertahankan kode ini. Tetapi Knut tidak putus asa, ia memutuskan untuk secara sistematis memperbaiki situasi dengan bantuan pengembangan yang digerakkan oleh tes dan unit test. Pembicara berbicara tentang
Kerangka Uji Kernel , yang ia kembangkan untuk ini.
12. Akhirnya, saya akan berbicara tentang laporan tahunan Kees Cook tentang status Proyek Perlindungan Kernel (KSPP). Gagasan proyek ini adalah bahwa keamanan sistem operasi lebih dari sekadar memperbaiki kesalahan dalam kode dan berbagi akses ke sumber daya. Sistem operasi harus dijalankan dengan aman jika terjadi kesalahan atau percobaan serangan. Oleh karena itu, KSPP bertujuan untuk menghilangkan seluruh kelas kerentanan dan metode eksploitasi di kernel vanilla Linux. Case Cook adalah pemimpin proyek ini dan juga pemelihara sejumlah subsistem nuklir. Dalam pidatonya, ia memberikan gambaran umum hasil KSPP dari versi kernel 4.14 hingga 4.20. Slide:
Selamat menikmati!