security - Linux 内核如何在 copy_from_user 中临时禁用 x86 SMAP？

Question

我想知道 Linux 内核如何在执行 copy_from_user() 函数时禁用 x86 SMAP。我试图在源代码中找到一些东西，但我失败了。

Supervisor Mode Access Prevention (SMAP)是 x86 CPU 的一项安全功能，可防止内核访问意外的用户空间内存，这有助于抵御各种攻击。

Answer 1

如您链接的维基百科页面中所述:

SMAP is enabled when memory paging is active and the SMAP bit in the CR4 control register is set. SMAP can be temporarily disabled for explicit memory accesses by setting the EFLAGS.AC (Alignment Check) flag. The stac (Set AC Flag) and clac (Clear AC Flag) instructions can be used to easily set or clear the flag.

Linux 内核正是这样做来临时禁用 SMAP 的:它在复制数据之前使用 stac 设置 EFLAGS.AC，然后使用 clac 清除 EFLAGS.AC完成后。

The AC flag 从 486 开始就以 alignment check for user-space load/store 的形式存在； SMAP 重载了该标志位的含义。 stac/clac 是 SMAP 新增的，只允许在内核模式下使用(CPL=0)；它们在用户空间中出错(在没有 SMAP 的 CPU 上，也在内核模式中)。

---

理论上这很简单，但实际上 Linux 内核代码库是一个由函数、宏、内联汇编模板等组成的丛林。要准确了解这是如何完成的，我们可以查看源代码，从 copy_from_user() 开始:

1. 当调用 copy_from_user() 时，它会快速检查内存范围是否有效，然后调用 _copy_from_user() ...

2. ... 进行另外几项检查，然后调用 raw_copy_from_user() ...

3. ... 在执行实际复制之前，调用 __uaccess_begin_nospec() ...

4. ... 这只是一个扩展为 stac() 的宏； barrier_nospec().

5. 关注 stac() ，这是一个简单的内联函数，我们有:

    alternative("", __ASM_STAC, X86_FEATURE_SMAP);
   

alternative() 宏是一个非常复杂的宏，用于在内核启动时根据 CPU 支持为指令选择替代项。您可以检查定义它的源文件以获取更多信息。在这种情况下，它用于根据 CPU 支持决定内核是否需要使用 stac 指令(旧的 x86 CPU 没有可用的 SMAP，因此没有指令:在那些 CPU 上，这只是一个空操作)。

查看 __ASM_STAC 宏，我们看到:

#define __ASM_STAC  ".byte 0x0f,0x01,0xcb"

这是汇编的 stac 操作码(以字节为单位)。这是使用 .byte 指令而不是助记符定义的，因为再次强调，即使在 binutils 版本不知道这些指令的旧工具链上也需要编译。

启动后，cpuid 指令用于检查 X86_FEATURE_SMAP(ebx 的位 20，当 cpuid 以 eax=7, ecx=0 执行得到 extended features )，这告诉内核 SMAP 是否可用(重写机器代码使指令成为 stac) 或不(保持空操作)。

一旦完成所有这些疯狂操作(实际上所有这些都归结为一条指令)，就会执行从用户内存中进行的实际复制，然后使用 __uaccess_end() 宏重新启用SMAP。此宏使用 alternative() 的方式与我们刚才看到的相同，并最终执行 clac(或 nop)。