Pierścienie procesora są najbardziej wyraźnym rozróżnieniem
W trybie chronionym x86 procesor jest zawsze w jednym z 4 pierścieni. Jądro Linuksa używa tylko 0 i 3:
- 0 dla jądra
- 3 dla użytkowników
Jest to najtrudniejsza i najszybsza definicja jądra i przestrzeni użytkownika.
Dlaczego Linux nie używa pierścieni 1 i 2: Pierścienie uprawnień procesora: Dlaczego pierścienie 1 i 2 nie są używane?
Jak jest określany obecny pierścień?
Bieżący dzwonek jest wybierany przez kombinację:
globalna tablica deskryptorów: tablica wpisów GDT w pamięci, a każdy wpis ma pole, Privlktóre koduje pierścień.
Instrukcja LGDT ustawia adres na bieżącą tablicę deskryptorów.
Zobacz także: http://wiki.osdev.org/Global_Descriptor_Table
rejestry segmentu CS, DS itp., które wskazują na indeks wpisu w GDT.
Na przykład CS = 0oznacza, że pierwszy wpis GDT jest obecnie aktywny dla kodu wykonawczego.
Co może zrobić każdy pierścionek?
Układ procesora jest fizycznie zbudowany tak, że:
ring 0 może zrobić wszystko
pierścień 3 nie może uruchomić kilku instrukcji i zapisać do kilku rejestrów, w szczególności:
nie może zmienić własnego pierścienia! W przeciwnym razie może ustawić się na dzwonek 0, a pierścienie byłyby bezużyteczne.
Innymi słowy, nie może modyfikować deskryptora bieżącego segmentu , który określa bieżący pierścień.
nie można modyfikować tabel stron: Jak działa stronicowanie x86?
Innymi słowy, nie może modyfikować rejestru CR3, a samo stronicowanie zapobiega modyfikowaniu tabel stron.
Dzięki temu jeden proces nie widzi pamięci innych procesów ze względów bezpieczeństwa / łatwości programowania.
nie można zarejestrować programów obsługi przerwań. Są one konfigurowane przez zapisywanie w lokalizacjach pamięci, czemu zapobiega również stronicowanie.
Programy obsługi działają w pierścieniu 0 i złamałyby model zabezpieczeń.
Innymi słowy, nie może korzystać z instrukcji LGDT i LIDT.
nie mogą wykonywać instrukcji IO, takich jak ini out, a zatem mają dowolny dostęp do sprzętu.
W przeciwnym razie, na przykład, uprawnienia do plików byłyby bezużyteczne, gdyby jakikolwiek program mógł bezpośrednio czytać z dysku.
Dokładniej dzięki Michaelowi Petchowi : w rzeczywistości system operacyjny może zezwolić na instrukcje IO na pierścieniu 3, jest to faktycznie kontrolowane przez segment stanu zadania .
Nie jest możliwe, aby pierścień 3 udzielił sobie na to pozwolenia, jeśli w ogóle go nie miał.
Linux zawsze tego zabrania. Zobacz też: Dlaczego Linux nie używa sprzętowego przełączania kontekstu za pośrednictwem TSS?
W jaki sposób programy i systemy operacyjne przechodzą między pierścieniami?
gdy procesor jest włączony, zaczyna uruchamiać program początkowy w pierścieniu 0 (no cóż, ale jest to dobre przybliżenie). Możesz myśleć, że ten program początkowy jest jądrem (ale zwykle jest to program ładujący, który następnie wywołuje jądro wciąż w pierścieniu 0 ).
kiedy proces użytkownika chce, aby jądro zrobiło coś dla niego, na przykład zapis do pliku, używa instrukcji, która generuje przerwanie, takie jak int 0x80lub,syscall aby zasygnalizować jądro. x86-64 Linux syscall hello world przykład:
.data
hello_world:
.ascii "hello world\n"
hello_world_len = . - hello_world
.text
.global _start
_start:
/* write */
mov $1, %rax
mov $1, %rdi
mov $hello_world, %rsi
mov $hello_world_len, %rdx
syscall
/* exit */
mov $60, %rax
mov $0, %rdi
syscall
skompiluj i uruchom:
as -o hello_world.o hello_world.S
ld -o hello_world.out hello_world.o
./hello_world.out
GitHub upstream .
Kiedy tak się dzieje, CPU wywołuje procedurę obsługi wywołania zwrotnego przerwania, którą jądro zarejestrowało podczas uruchamiania. Oto konkretny przykład baremetalu, który rejestruje program obsługi i używa go .
Ten program obsługi działa w pierścieniu 0, który decyduje, czy jądro zezwoli na to działanie, wykona akcję i zrestartuje program przestrzeni użytkownika w pierścieniu 3. x86_64
gdy execużywane jest wywołanie systemowe (lub gdy jądro się uruchamia/init ), jądro przygotowuje rejestry i pamięć nowego procesu użytkownika, a następnie przeskakuje do punktu wejścia i przełącza procesor na pierścień 3
Jeśli program próbuje zrobić coś niegrzecznego, jak zapis do zabronionego rejestru lub adresu pamięci (z powodu stronicowania), procesor wywołuje również program obsługi wywołań zwrotnych jądra w pierścieniu 0.
Ale ponieważ obszar użytkownika był niegrzeczny, jądro może tym razem zabić proces lub dać mu ostrzeżenie za pomocą sygnału.
Kiedy jądro uruchamia się, ustawia zegar sprzętowy z pewną stałą częstotliwością, która okresowo generuje przerwania.
Ten zegar sprzętowy generuje przerwania, które uruchamiają pierścień 0 i pozwalają mu zaplanować, które procesy użytkownika mają się wybudzić.
W ten sposób planowanie może mieć miejsce nawet wtedy, gdy procesy nie wykonują żadnych wywołań systemowych.
Jaki jest sens posiadania wielu dzwonków?
Istnieją dwie główne zalety oddzielenia jądra od obszaru użytkownika:
- tworzenie programów jest łatwiejsze, ponieważ masz większą pewność, że jeden z nich nie będzie kolidował z drugim. Np. Jeden proces w przestrzeni użytkownika nie musi martwić się o nadpisanie pamięci innego programu z powodu stronicowania, ani o wprowadzenie sprzętu w stan nieprawidłowy dla innego procesu.
- jest bezpieczniejszy. Np. Uprawnienia do plików i separacja pamięci mogą uniemożliwić aplikacji hakerskiej odczyt danych bankowych. To oczywiście zakłada, że ufasz jądru.
Jak się tym bawić?
Stworzyłem gotowy zestaw metalowy, który powinien być dobrym sposobem na bezpośrednie manipulowanie pierścieniami: https://github.com/cirosantilli/x86-bare-metal-examples
Niestety nie miałem cierpliwości, by stworzyć przykład przestrzeni użytkownika, ale posunąłem się do konfiguracji stronicowania, więc przestrzeń użytkownika powinna być wykonalna. Bardzo chciałbym zobaczyć prośbę o wycofanie.
Alternatywnie, moduły jądra Linuksa działają w pierścieniu 0, więc możesz ich użyć do wypróbowania uprzywilejowanych operacji, np. Odczytu rejestrów kontrolnych: Jak uzyskać dostęp do rejestrów kontrolnych cr0, cr2, cr3 z programu? Uzyskanie błędu segmentacji
Oto wygodna konfiguracja QEMU + Buildroot, aby wypróbować ją bez zabijania hosta.
Wadą modułów jądra jest to, że inne k-wątki działają i mogą zakłócać twoje eksperymenty. Ale teoretycznie możesz przejąć wszystkie programy obsługi przerwań swoim modułem jądra i posiadać system, to byłby właściwie interesujący projekt.
Pierścienie ujemne
Chociaż w podręczniku Intela nie ma odniesień do pierścieni ujemnych, w rzeczywistości istnieją tryby procesora, które mają większe możliwości niż sam pierścień 0, a zatem dobrze pasują do nazwy „pierścień ujemny”.
Jednym z przykładów jest tryb hiperwizora używany w wirtualizacji.
Więcej informacji:
RAMIĘ
W ARM pierścienie nazywane są zamiast tego poziomami wyjątków, ale główne pomysły pozostają takie same.
Istnieją 4 poziomy wyjątków w ARMv8, powszechnie używane jako:
EL0: obszar użytkownika
EL1: jądro („nadzorca” w terminologii ARM).
Wprowadzono z svcinstrukcją (wywołanie SuperVisor), wcześniej znaną jako swi przed ujednoliconym asemblacją , która jest instrukcją używaną do wykonywania wywołań systemu Linux. Przykład Hello world ARMv8:
przywitania
.text
.global _start
_start:
/* write */
mov x0, 1
ldr x1, =msg
ldr x2, =len
mov x8, 64
svc 0
/* exit */
mov x0, 0
mov x8, 93
svc 0
msg:
.ascii "hello syscall v8\n"
len = . - msg
GitHub upstream .
Przetestuj z QEMU na Ubuntu 16.04:
sudo apt-get install qemu-user gcc-arm-linux-gnueabihf
arm-linux-gnueabihf-as -o hello.o hello.S
arm-linux-gnueabihf-ld -o hello hello.o
qemu-arm hello
Oto konkretny przykład baremetal, który rejestruje program obsługi SVC i wywołuje SVC .
EL2: hiperwizory , na przykład Xen .
Wprowadzono z hvcinstrukcją (połączenie HyperVisor).
Hiperwizor jest dla systemu operacyjnego, czym system operacyjny dla obszaru użytkownika.
Na przykład Xen pozwala na jednoczesne uruchamianie wielu systemów operacyjnych, takich jak Linux lub Windows w tym samym systemie, i izoluje systemy operacyjne od siebie w celu zapewnienia bezpieczeństwa i łatwości debugowania, tak jak Linux robi to w programach użytkownika.
Hiperwizory są kluczową częścią dzisiejszej infrastruktury chmurowej: umożliwiają działanie wielu serwerów na jednym sprzęcie, utrzymując wykorzystanie sprzętu na poziomie bliskim 100% i oszczędzając dużo pieniędzy.
Na przykład AWS używał Xena do 2017 roku, kiedy jego przejście na KVM pojawiło się w wiadomościach .
EL3: kolejny poziom. Przykład TODO.
Wprowadzono z smcinstrukcją (połączenie w trybie bezpiecznym)
ARMv8 Architektura Model referencyjny DDI 0487C.a - Rozdział D1 - na poziomie systemu AArch64 programisty Model - Rysunek D1-1 ilustruje to pięknie:
Sytuacja ARM zmieniła się nieco wraz z pojawieniem się rozszerzeń hosta wirtualizacji ARMv8.1 (VHE) . To rozszerzenie umożliwia wydajne działanie jądra w EL2:
VHE zostało stworzone, ponieważ rozwiązania wirtualizacji w jądrze Linuksa, takie jak KVM, zyskały przewagę nad Xen (patrz np. Przejście AWS na KVM wspomniane powyżej), ponieważ większość klientów potrzebuje tylko maszyn wirtualnych z systemem Linux i, jak możesz sobie wyobrazić, wszystko w jednym projekt KVM jest prostszy i potencjalnie bardziej wydajny niż Xen. Więc teraz jądro Linuksa-hosta działa w takich przypadkach jako hiperwizor.
Zwróć uwagę, że ARM, być może z perspektywy czasu, ma lepszą konwencję nazewnictwa poziomów uprawnień niż x86, bez potrzeby stosowania poziomów ujemnych: 0 oznacza niższy, a 3 najwyższy. Wyższe poziomy są zwykle tworzone częściej niż niższe.
Bieżący EL można zapytać za pomocą MRSinstrukcji: jaki jest bieżący tryb wykonywania / poziom wyjątku itp.?
ARM nie wymaga obecności wszystkich poziomów wyjątków, aby umożliwić implementacje, które nie wymagają funkcji oszczędzania obszaru chipa. ARMv8 „Poziomy wyjątków” mówi:
Implementacja może nie obejmować wszystkich poziomów wyjątków. Wszystkie implementacje muszą zawierać EL0 i EL1. EL2 i EL3 są opcjonalne.
Na przykład QEMU domyślnie ustawia się na EL1, ale EL2 i EL3 można włączyć za pomocą opcji wiersza poleceń: qemu-system-aarch64 wpisuje el1 podczas emulacji zasilania a53
Fragmenty kodu przetestowane na Ubuntu 18.10.