上周在苏格兰爱丁堡举行了
2018年欧洲
开源峰会 。 我向您介绍了一些我可以参加的有关Linux内核的有趣报告。
1.在主旨演讲中,我想选出乔纳森·科贝特(Jonathan Corbet)的《内核报告》。 他概述了近年来Linux内核的主要发展趋势。 另外,他致力于消除Spectre和Meltdown的耸人听闻的漏洞。 我发现他关于eBPF如何模糊用户和内核空间之间的界限的想法很有趣。
2. OTH雷根斯堡和西门子的专家开发了与实时任务相关的“幽灵和崩溃”主题。 他们讨论了如何利用Preempt-RT补丁修复这些漏洞如何影响Linux内核的性能以及Jailhouse虚拟机管理程序的性能。
3. Christoph Lameter对Linux内核内存管理进行了出色的介绍。 他谈到了流程的物理和虚拟内存的组织,以及如何从用户空间详细跟踪其状态。 简而言之,将货架上的所有物品完美地布置。 核分配者的维护者还能做什么? 幻灯片:
4.让我也告诉您有关我参加内核自我保护项目的经验教训的报告。 该报告的目的是让更多的Linux内核安全爱好者参与进来,并分享我在开发内核保护工具方面的经验。 我谈到了安全社区中的力量调整和
核心自卫工具的
地图 。 然后,关于在Linux内核中阻止双内存释放,并努力将PAX_MEMORY_STACKLEAK引入普通内核。 报告之后,随后进行了有益的沟通和思想交流。 幻灯片:
5. Darren Hart谈到了使用配置片段通过Kconfig整理Linux内核。 内核具有10,000多种不同的选项,它们以复杂的方式相互依赖,因此使用版本控制系统跟踪内核配置的更改非常不便。 为了简化配置管理的任务,将Yocto项目中的merge_config.sh脚本引入了香草内核,使您可以使用配置片段。 达伦(Darren)讲述了如何使用它。
6. Will Deacon对设置I / O和DMA操作顺序的Linux内核原语进行了出色而复杂的讨论。 他从描述内核内存的正式模型开始,回顾了常规的内存障碍,然后继续讲授I / O障碍的语义。 他出色的讲话方式使听众一直专注到最后。
7.来自宝马的Lukas Bulwahn谈到了
SIL2LinuxMP研究项目,我今年也参加了该项目。 该项目正在探索在安全性更高的系统中使用Linux的可能性。 首先,卢卡斯从工程角度解释了可靠性的概念,然后谈到了SIL2LinuxMP项目的技术和组织方面,该项目涉及许多大型制造公司,学术界人士和独立专家。
8.最近在Google工作的Matthew Garrett谈到了一系列名为
Kernel Lockdown的补丁。 这个想法非常好-例如,有必要能够保护内核免受超级用户的影响,以使他不能放置rootkit。 因此Windows内核已经做了很长时间了。 事实证明,所有主要的Linux发行版都已随附内核锁定。 但是,这一系列补丁仍然不在核心位置,马修还解释了这一事实的政治背景。
9.在KVM论坛上,我参加了有关QEMU安全模型的精彩演讲。 Stefan Hajnoczi描述了基于QEMU / KVM的虚拟化体系结构,其组件的攻击范围以及减少攻击的方法。 幻灯片:
10. Greg Kroah-Hartman狂热地谈论了Linux内核社区如何消除Meltdown和Spectre的各种选择,Intel的行为方式,从整个故事中学到的教训以及我们未来的期望。 由于某些原因,在公共领域没有幻灯片或视频,但我只需要提及他的演讲。
11.我还想谈一谈Knut Omang(Knut Omang)关于Linux内核的单元测试系统的报告。 我真的很喜欢他的表演和作品本身。 该演讲者在Oracle中工作,不幸的是,他的任务是支持大约20,000行Linux内核驱动程序。 该驱动程序质量很差,不适合香草内核。 但是,Oracle提供了它,您需要维护此代码。 但是Knut并不感到失望,他决定在测试驱动的开发和单元测试的帮助下系统地纠正这种情况。 演讲者谈到了他正在为此开发的
内核测试框架 。
12.最后,我将讨论Kees Cook关于内核自我保护项目(KSPP)状况的年度报告。 该项目的想法是,操作系统的安全性不只是修复代码中的错误和共享对资源的访问。 发生错误或尝试攻击时,操作系统应安全执行。 因此,KSPP旨在消除原始Linux内核中的所有漏洞和利用方法。 凯斯·库克(Case Cook)是该项目的负责人,也是许多核子系统的维护者。 在演讲中,他概述了从内核版本4.14到4.20的KSPP结果。 幻灯片:
有一个不错的看法!