8

我一直在做一些研究,我对这个宏有点困惑。希望有人能给我一些指导。access_ok()我有一些 ioctl 代码(我是继承的,不是编写的),如果在继续从用户空间复制数据之前检查 if,它会做的第一件事:

#define __lddk_copy_from_user(a,b,c) copy_from_user(a,b,c)
#define __lddk_copy_to_user(a,b,c) copy_to_user(a,b,c)

long can_ioctl(struct file *file, unsigned int cmd, unsigned long arg)
{
  switch(cmd) {
    case COMMAND:
      if(! access_ok(VERIFY_READ, (void *)arg, sizeof(Message_par_t)))
        return(retval); 

      if(! access_ok(VERIFY_WRITE, (void *)arg, sizeof(Message_par_t)))
        return(retval); 

      argp = &Command;
      __lddk_copy_from_user( (void *) argp,(Command_par_t *) arg, sizeof(Command_par_t));

所以代码工作得很好,但我不确定它是否需要。第一个问题来自对access_ok返回的这个描述:

  • 如果该区域可能可访问,则该函数返回非零值(尽管访问仍可能导致 -EFAULT)。这个函数只是检查地址是否可能在用户空间中,而不是在内核中。

所以这意味着除了确保我们正在检查的指针可能在用户空间中初始化之外,它真的什么也不做?因为我们知道除了用户空间调用之外我们不能进入这个函数,而且除非我们打开这个设备的有效文件描述符,否则它不会发生,这真的需要吗?它真的比确保我们没有得到 NULL 指针更安全吗?

第二个问题来自这个描述:

  • 类型参数可以指定为 VERIFY_READ 或 VERIFY_WRITE。VERIFY_WRITE 符号还标识内存区域是否可读和可写。

这是否意味着我的代码中的第一次检查是多余的?如果我们要检查一个可写区域,我们是否可以免费获得可读性?

我使用的是 x86 架构,因此 access_ok() 和 __range_no_ok() 的定义来自 /usr/src/linux-3.1.10-1.16/arch/x86/include/asm/uaccess.h,如下所示:

#define access_ok(type, addr, size) (likely(__range_not_ok(addr, size) == 0))

#define __range_not_ok(addr, size)                  \
({                                  \
    unsigned long flag, roksum;                 \
    __chk_user_ptr(addr);                       \
    asm("add %3,%1 ; sbb %0,%0 ; cmp %1,%4 ; sbb $0,%0"     \
        : "=&r" (flag), "=r" (roksum)               \
        : "1" (addr), "g" ((long)(size)),               \
          "rm" (current_thread_info()->addr_limit.seg));        \
    flag;                               \
})
4

3 回答 3

13

如果__lddk_copy_from_user()只是调用copy_from_user(),那么access_ok()检查是多余的,因为copy_from_user()这些检查自己执行。

access_ok()检查确保用户空间应用程序不要求内核读取或写入内核地址(它们是完整性/安全检查)。仅仅因为指针是由用户空间提供的,并不意味着它绝对是用户空间指针——在许多情况下,“内核指针”仅仅意味着它指向虚拟地址空间的特定区域。

此外,调用access_ok()withVERIFY_WRITE意味着VERIFY_READ,因此如果您检查前者,则不需要同时检查后者。

截至2019 年的这次提交access_ok()不再有type争论,所以反对VERIFY_WRITEVERIFY_READ是没有实际意义的。

于 2012-09-11T01:49:27.380 回答
1

access_ok宏只是对指针可能有效性的快速检查。例如,它会捕获带有 NULL 或只读参数的错误调用。

理想情况下,即使稍后访问功能失败,驱动程序也应该恢复。然而,这只有在一些昂贵的硬件操作之后才会发生。因此,及早检查可能会使驱动程序对最常见的用户空间程序员错误更加健壮。

编辑:是的,如果您唯一的输入调用是那里的 copy_from_user() ,则检查是多余的。但是,如果稍后有写入,则在开始时检查可写性很有用。

你真的应该检查 copy_from_user() 的返回值。

于 2012-09-10T19:16:08.337 回答
1

这不是多余的。access_ok() 验证地址,尝试从该区域读取。如果地址有效并且确实存在于用户空间,则尝试读取,否则函数返回 EFAULT,表示地址失败。这是一种更安全的方法来验证对区域的访问,而不是检查 NULL(在您遇到任何可能导致内核崩溃的分段错误之前)。

此外,您可以使用 access_ok() 验证读/写访问权限。第二个调用只是验证对该区域的“写”访问。

于 2012-09-10T19:17:27.320 回答