Huawei, Linux Çekirdeği için Yeni Güvenlik Detayları Ekliyor

Çin'in teknoloji devi Huawei, Linux çekirdeğinde bellek güvenliğini artırmak için yeni bir "Kum Sandığı Modu" önerdi. Kum Sandığı Modu'nun nihai amacı, yerel çekirdek kodunu yalnızca önceden tanımlanmış adreslere izin veren bir ortamda yürütmektir. Bu şekilde, güvenlik açıkları sömürülemez veya çekirdeğin geri kalanı üzerinde etkisi olmaz. Bu yama serisi, Kum Sandığı Modu'nun API'sini ve mimari bağımsız altyapısını çekirdeğe ekler. Hedef işlev, tüm giriş ve çıkış verilerinin bir vmalloc kopyasında çalıştırılır. Bu, koruma sayesinde bazı sınır dışı erişimleri engeller.

Özellikle, giriş ve/veya çıkış olarak kullanılan bellek alanları, geri kalan çekirdekten izole edilir ve koruma sayfalarıyla çevrilir. Mimari kancalar olmadan, bu ortak taban zayıf izolasyon sağlar. Gerekli mimari kancaları uygulayan mimarilerde, Kum Sandığı Modu, sadece önceden tanımlanmış bellek alanlarının kullanımını zorlamak için donanım sayfa tesisleri ve CPU ayrıcalık seviyelerinden yararlanır. Mimari desteği ile SBM, koruma ihlallerinden de kurtulabilir. Bu tür bir uygulama güçlü izolasyon sağlar. Huawei tarafından hayata geçirilen bu sistem oldukça önemli sonuçlar meydana getirmektedir.

Huawei Bulut departmanından Petr Tesarik, yeni kum sandığı modu hakkında "yorum talep etme" yama serisini çıkardı. Petr, kum sandığı modunu şöyle tanımladı:

"Huawei Kum sandığı modunun nihai amacı, yerel çekirdek kodunu yalnızca önceden tanımlanmış adreslere bellek erişimine izin veren bir ortamda yürütmektir. Böylece potansiyel güvenlik açıkları sömürülemez veya çekirdek üzerinde etkisi olmaz. "Kum Sandığı Modunun (SBM) ana hedefi, çekirdekteki potansiyel bellek güvenliği hatalarının etkisini azaltarak çekirdeği parçalamaktır. SBM API'si, her bileşenin izole bir yürütme ortamında çalışmasına izin verir.

İlginizi çekebilir: Huawei ve Teknoloji Harikası: 2024’te Sektöre Damgasını Vuracak Yenilikler

Linux Çekirdeğinde Bellek Güvenliğini Artırmak İçin Huawei Yenilikçi Yaklaşımı

Huawei mühendisi Weixi Zhu, Salı günü GMEM etrafındaki çalışmalarını duyurdu ve tüm kod tekrarını önlemeyi umuyor. GMEM önerisi, mevcut sorunu/meydan okumayı oldukça iyi özetliyor. Bir verim odaklı bir hızlandırıcı, ana MMU/IOMMU üzerinden ağ üzerinden bir ana bellek erişim yükü ile uyumlu değildir. Bu nedenle, cihazların kendi MMU'ları olacak ve daha düşük adres çevrimiçi maliyeti için daha basit bir sayfa tablosu biçimi seçecektir. Bu noktada aynı zamanda harici MM alt sistemleri gerekecektir.

Önerilen GMEM kodu ile, Linux bellek yönetimi "MM" alt sistemi, yalnızca yüksek bir kod sağlar. Öte yandan makine bağımsız kodunu paylaşmak için genişletilir. GMEM, Huawei markasının sinir işlemci birimi cihaz sürücüsü ile test edilmiştir. GMEM'e geçmek, Huawei NPU sürücüsünün sadece 26k kod satırını azaltmasına olanak tanıdı. GMEM önerisinde belirtilen diğer faydalar da vardır. GMEM önerisi, diğer Linux cihaz sürücülerinden gelecek inceleme ve geri bildirimleri beklerken dri-devel'de tam olarak bulunabilir.