Yüklenebilir çekirdek modülü - Loadable kernel module

İçinde bilgi işlem, bir yüklenebilir çekirdek modülü (LKM) bir nesne dosyası için kod içeren uzatmak koşu çekirdek veya sözde temel çekirdek, bir işletim sistemi. LKM'ler genellikle yeni içerikler için destek eklemek için kullanılır. donanım (gibi aygıt sürücüleri ) ve / veya dosya sistemleri veya eklemek için sistem çağrıları. Bir LKM tarafından sağlanan işlevsellik artık gerekli olmadığında, serbest bırakmak için kaldırılabilir hafıza ve diğer kaynaklar.

En güncel Unix benzeri sistemler ve Microsoft Windows yüklenebilir çekirdek modüllerini destekler, ancak bunlar için farklı bir ad kullanabilirler, örneğin çekirdek yüklenebilir modül (kld) içinde FreeBSD, çekirdek uzantısı (Kext) içinde Mac os işletim sistemi,[1] çekirdek genişletme modülü içinde AIX, çekirdek modu sürücüsü içinde Windows NT[2] ve indirilebilir çekirdek modülü (DKM) içinde VxWorks. Aynı zamanda çekirdek yüklenebilir modüller (veya KLM) ve basitçe çekirdek modülleri (KMOD).

Avantajlar

Yüklenebilir çekirdek modülleri olmadan, bir işletim sistemi, doğrudan temel çekirdeğe derlenen olası tüm beklenen işlevselliği içermelidir. Bu işlevselliğin çoğu, kullanılmadan bellekte kalır, belleği boşa harcar ve kullanıcıların her yeni işlevselliğe ihtiyaç duyduklarında temel çekirdeği yeniden oluşturmalarını ve yeniden başlatmalarını gerektirir.

Dezavantajları

Statik bir çekirdek yerine modüler bir çekirdeği tercih etmenin küçük bir eleştirisi sözde parçalanma ceza. Temel çekirdek her zaman gerçek bitişik olarak paketinden çıkarılır hafıza kurulum rutinleri ile; bu nedenle temel çekirdek kodu hiçbir zaman parçalanmaz. Sistem, modüllerin eklenebileceği bir duruma geldiğinde, örneğin dosya sistemleri olmuştur monte modülleri içerenler, büyük olasılıkla herhangi bir yeni çekirdek kodu ekleme işleminin çekirdeğin parçalanmasına neden olacağı ve bu nedenle daha fazlasını kullanarak küçük bir performans cezası getirecektir. TLB daha fazla TLB kaçırmasına neden olur.[kaynak belirtilmeli ]

Farklı işletim sistemlerindeki uygulamalar

Linux

Linux'ta yüklenebilir çekirdek modülleri, Linux'ta yüklenir (ve kaldırılır). modprobe komut. Bulundukları yer / lib / modüller ve uzantıya sahip .ko ("çekirdek nesnesi") sürüm 2.6'dan beri (önceki sürümler uzantı).[3] lsmod command yüklenen çekirdek modüllerini listeler. Acil durumlarda, sistem örn. kırık modüller, belirli modüller çekirdek önyükleme parametreleri listesi değiştirilerek etkinleştirilebilir veya devre dışı bırakılabilir (örneğin, GRUB, GRUB başlat menüsünde 'e' tuşuna basarak, ardından çekirdek parametresi satırını düzenleyerek).

Lisans sorunları

Linux geliştiricilerinin görüşüne göre LKM, türetilmiş eserler çekirdeğin[kaynak belirtilmeli ]. Linux bakımcıları, tescilli modüller,[kaynak belirtilmeli ] ancak simgelerin yalnızca kullanılabilir olarak işaretlenmesine izin ver GNU Genel Kamu Lisansı (GPL) modülleri.

Tescilli veya GPL uyumlu olmayan bir modülün yüklenmesi, bir 'kusur' bayrağı oluşturacaktır[4][5] çalışan çekirdekte - yaşanan herhangi bir sorun veya hatanın bakımcılar tarafından araştırılma olasılığının daha düşük olacağı anlamına gelir.[6][7] LKM'ler etkin bir şekilde çalışan çekirdeğin bir parçası haline gelir, bu nedenle çekirdek veri yapılarını bozabilir ve modül gerçekten özel ise araştırılamayacak hatalar üretebilir.

Linuxant tartışması

2004'te, özel mülkleri yayınlayan bir danışmanlık şirketi olan Linuxant aygıt sürücüleri yüklenebilir çekirdek modülleri olarak, bir boş sonlandırıcı onların içinde MODULE_LICENSE, aşağıdaki kod alıntısında görüldüğü gibi:

MODULE_LICENSE("GPL\0içindeki dosyalar için \"GPL\" dizin; diğerleri için yalnızca LİSANS dosyası geçerlidir ");

Çekirdek tarafından kullanılan dize karşılaştırma kodu, modülün bir boş karaktere ulaştığında GPL'li olup olmadığını belirlemeye çalıştı (\0), bu yüzden modülün lisansını sadece "GPL" olarak ilan ettiğini düşünerek aldatıldı.[8]

FreeBSD

İçin çekirdek modülleri FreeBSD içinde saklanır / boot / kernel / ile dağıtılan modüller için işletim sistemi veya genellikle / boot / modüller / yüklenen modüller için FreeBSD bağlantı noktaları veya FreeBSD paketleri veya tescilli veya yalnızca ikili modüller için. FreeBSD çekirdek modülleri genellikle uzantıya sahiptir .ko. Makine önyüklendikten sonra, kldload komut, yüksüz kldunloadve listelenmiştir kldstat. Modüller ayrıca çekirdek başlamadan önce yükleyiciden otomatik olarak ( /boot/loader.conf) veya elle.

Mac os işletim sistemi

MacOS'taki bazı yüklenebilir çekirdek modülleri otomatik olarak yüklenebilir. Yüklenebilir çekirdek modülleri ayrıca Kextload komut. Tarafından listelenebilirler. Kextstat komut. Yüklenebilir çekirdek modülleri şurada bulunur: Paketler uzantı ile .kext. İşletim sistemiyle birlikte sağlanan modüller, / Sistem / Kitaplık / Uzantılar dizin; üçüncü şahıslar tarafından sağlanan modüller çeşitli diğer dizinlerde bulunur.

NetWare

Bir NetWare çekirdek modülü, bir NetWare Yüklenebilir Modül (NLM). NLM'ler, LOAD komutu aracılığıyla NetWare çekirdeğine eklenir ve UNLOAD komutu ile kaldırılır; modüller komut şu anda yüklü olan çekirdek modüllerini listeler. NLM'ler, NetWare sunucusunda atanan herhangi bir geçerli arama yolunda bulunabilir ve .NLM dosya adı uzantısı olarak.

VxWorks

İndirilebilir bir çekirdek modülü (DKM) türü proje, daha sonra "ld" komutu kullanılarak çekirdek alanına yüklenebilen bir ".out" dosyası oluşturmak için oluşturulabilir. Bu indirilebilir çekirdek modülü, "unld" komutu kullanılarak kaldırılabilir.

Solaris

Solaris yapılandırılabilir bir çekirdek modülü yükleme yoluna sahiptir, varsayılan olarak / platform / platform-name / kernel / kernel / usr / kernel. Çoğu çekirdek modülü aşağıdaki alt dizinlerde bulunur: /çekirdek; sistemi init'in başlayabileceği noktaya kadar başlatmak için gerekli görülmeyenler genellikle (ancak her zaman değil) şurada bulunur: / usr / çekirdek. Bir DEBUG çekirdek derlemesini çalıştırırken, sistem aktif olarak modülleri kaldırmaya çalışır.

İkili uyumluluk

Linux bir kararlılık sağlamaz API veya ABI çekirdek modülleri için. Bu, farklı çekirdek sürümleri arasında iç yapı ve işlev açısından uyumluluk sorunlarına neden olabilecek farklılıklar olduğu anlamına gelir. Bu sorunlarla mücadele etme girişiminde, sembol versiyonlama verileri .modinfo yüklenebilir bölüm ELF modüller. Bu sürüm bilgisi, bir modül yüklenmeden önce çalışan çekirdek ile karşılaştırılabilir; sürümler uyumlu değilse modül yüklenmeyecektir.

Gibi diğer işletim sistemleri Solaris, FreeBSD, Mac os işletim sistemi, ve pencereler çekirdeği sakla API ve ABI nispeten kararlıdır, bu nedenle bu sorunu önler. Örneğin, FreeBSD Çekirdek sürüm 6.0'a göre derlenen çekirdek modülleri, başka herhangi bir FreeBSD 6.x sürümünde yeniden derlenmeden çalışacaktır, ör. 6.4. Ancak, diğer büyük sürümlerle uyumlu değildirler ve API ve ABI uyumluluğu yalnızca bir dalda sağlandığından FreeBSD 7.x ile kullanılmak üzere yeniden derlenmeleri gerekir.

Güvenlik

Yüklenebilir çekirdek modülleri, çalışan çekirdeği değiştirmek için uygun bir yöntem olsa da, bu, güvenlik açığı olan bir sistemdeki saldırganlar tarafından, bunların algılanmasını önlemek için kötüye kullanılabilir. süreçler veya Dosyalar, sistem üzerinde kontrol sağlamalarına izin verir. Birçok rootkit'ler LKM'lerden bu şekilde yararlanın. Çoğu işletim sistemi modülünün yardımcı olmadığını unutmayın. ayrıcalık yükselmesi herhangi bir şekilde, bir LKM'yi yüklemek için yükseltilmiş ayrıcalık gerekli olduğundan; sadece saldırganın zorla girmeyi gizlemesini kolaylaştırır.[9]

Linux

Linux, modül yüklemeyi devre dışı bırakmaya izin verir sysctl seçenek / proc / sys / kernel / modules_disabled.[10][11] Bir initramfs sistem, önyükleme sırasında bir makine için gerekli belirli modülleri yükleyebilir ve ardından modül yüklemeyi devre dışı bırakabilir. Bu, güvenliği monolitik bir çekirdeğe çok benzer kılar. Bir saldırgan initramfları değiştirebiliyorsa, çekirdek ikilisini değiştirebilir.

Mac os işletim sistemi

İçinde OS X Yosemite ve sonraki sürümlerde, bir çekirdek uzantısı kod imzalı bunun için belirli bir "yetkiye" sahip bir geliştirici sertifikası ile. Böyle bir geliştirici sertifikası yalnızca talep üzerine Apple tarafından sağlanır ve otomatik olarak Apple Geliştirici üyeler. "Kext imzalama" adı verilen bu özellik varsayılan olarak etkindir ve eğer imzasız çekirdek uzantıları varsa çekirdeğe önyüklemeyi durdurması talimatını verir.[12] İçinde OS X El Capitan ve sonraki sürümler, Sistem Bütünlüğü Koruması.

MacOS'in eski sürümlerinde veya kext imzalama devre dışı bırakılmışsa, OSBundleAllowUserLoad özelliği paketin özellik listesinde True olarak ayarlanmışsa, bir çekirdek uzantı paketindeki yüklenebilir bir çekirdek modülü, kök olmayan kullanıcılar tarafından yüklenebilir.[13] Bununla birlikte, çalıştırılabilir kod dosyası da dahil olmak üzere paketteki dosyalardan herhangi biri kök ve grup çarkına ait değilse veya grup veya "diğer" tarafından yazılabilirse, çekirdek yüklenebilir modülü yükleme girişimi başarısız olur.[14]

Solaris

Çekirdek modülleri isteğe bağlı olarak Doğrulanmış Önyükleme ilke ayarlarına bağlı olarak yükte doğrulanan bir şifreleme imza ELF bölümüne sahip olabilir. Çekirdek, modüllerin bir dizi güvenilir sertifika tarafından kriptografik olarak imzalanmasını zorunlu kılabilir; Güvenilir sertifikaların listesi, bazı SPARC tabanlı platformlarda ILOM'da işletim sisteminin dışında tutulur. Kullanıcı alanı tarafından başlatılan çekirdek modülü yüklemesi, yalnızca sistem Değişmez Küresel Bölge özelliği etkinken çalışırken Güvenilir Yoldan mümkündür.

Ayrıca bakınız

Referanslar

  1. ^ "Çekirdek Uzantısı Programlama Konuları: Giriş". Apple Inc. 1 Eylül 2010. Arşivlendi orjinalinden 4 Mayıs 2013. Alındı 5 Mayıs, 2013.
  2. ^ "Bir Sürücünün Yüklendiğini Ne Belirler?". Microsoft Geliştirici Ağı. Microsoft. 21 Kasım 2012. Arşivlendi 6 Mart 2013 tarihli orjinalinden. Alındı 5 Mayıs, 2013.
  3. ^ "Linux Çekirdek Modülü Programlama Kılavuzu, bölüm 2.2" Çekirdek Modüllerini Derleme"". Alındı 2020-10-05.
  4. ^ Linus Torvalds; et al. (2011-06-21). "Belgeler / oops-tracing.txt". kernel.org. Arşivlendi 2011-10-02 tarihinde orjinalinden. Alındı 2011-10-03.
  5. ^ "Bozuk çekirdekler". Linux çekirdeği kullanıcı ve yönetici kılavuzu.
  6. ^ Jonathan Corbet (2006-03-24). "Kullanıcı alanından lekelenme". LWN.net. Arşivlendi 2011-11-16 tarihinde orjinalinden. Alındı 2011-10-03.
  7. ^ "Novell destek belgeleri: Bozuk çekirdek". 2007-07-26. Alındı 2011-10-03.
  8. ^ Jonathan Corbet (27 Nisan 2004). "MODULE_LICENSE'e karşı dürüst olmak". LWN.net. Arşivlendi 2 Kasım 2012'deki orjinalinden. Alındı 30 Ekim 2012.
  9. ^ Yüklenebilir Çekirdek Modüllerinden Yararlanma Arşivlendi 2012-02-04 at Wayback Makinesi
  10. ^ "Sysctl / kernel.txt". Arşivlenen orijinal 15 Nisan 2013. Alındı 4 Ocak 2013.
  11. ^ Kees Cook (2012-11-28). "Temiz modül devre dışı bırakma". outflux.net. Alındı 2020-10-05.
  12. ^ "Çekirdek Uzantıları". Mac Geliştirici Kitaplığı. Elma. 16 Eylül 2015. Arşivlendi 17 Ağustos 2016'daki orjinalinden. Alındı 29 Eylül 2016.
  13. ^ "Çekirdek Uzantıları için Info.plist Özellikleri". Apple Inc. Arşivlendi 26 Eylül 2012'deki orjinalinden. Alındı 27 Eylül 2012.
  14. ^ kextload (8) – Darwin ve Mac os işletim sistemi Sistem Yöneticisinin Manuel