Что такое Ring 0 и Ring 3 в контексте операционных систем?

Обзор использования кольца Linux x86

Понимание того, как кольца используются в Linux, даст вам хорошее представление о том, для чего они предназначены.

В защищенном режиме x86 процессор всегда находится в одном из 4 звонков. Ядро Linux использует только 0 и 3:

• 0 для ядра
• 3 для пользователей

Это наиболее сложное и быстрое определение ядра и пользовательского пространства.

Почему Linux не использует кольца 1 и 2: Кольца привилегий ЦП: Почему кольца 1 и 2 не используются?

Как определяется текущее кольцо?

Текущее кольцо выбирается комбинацией:

• таблица глобальных дескрипторов: таблица в памяти записей GDT, и у каждой записи есть поле Privl который кодирует кольцо.

  Инструкция LGDT устанавливает адрес для текущей таблицы дескрипторов.

  Смотрите также: http://wiki.osdev.org/Global_Descriptor_Table

• Сегмент регистрирует CS, DS и т. д., которые указывают на индекс записи в GDT.

  Например, CS = 0 означает, что первая запись GDT в данный момент активна для исполняемого кода.

Что может сделать каждое кольцо?

Чип процессора физически построен так, что:

• кольцо 0 может сделать что угодно

• кольцо 3 не может выполнить несколько инструкций и записать в несколько регистров, в частности:

  • не может изменить свое собственное кольцо! В противном случае он мог бы установить себе кольцо 0, и кольца были бы бесполезны.

    Другими словами, нельзя изменить текущий дескриптор сегмента, который определяет текущее кольцо.

  • не может изменить таблицы страниц: как работает подкачка x86?

    Другими словами, нельзя изменить регистр CR3, а само разбиение на страницы предотвращает изменение таблиц страниц.

    Это препятствует тому, чтобы один процесс видел память других процессов из соображений безопасности / простоты программирования.

  • не может зарегистрировать обработчики прерываний. Они настраиваются путем записи в ячейки памяти, что также предотвращается подкачкой.

    Обработчики работают в кольце 0 и нарушают модель безопасности.

    Другими словами, нельзя использовать инструкции LGDT и LIDT.

  • не может сделать инструкции IO, такие как in а также out и, таким образом, иметь произвольный доступ к оборудованию.

    В противном случае, например, права доступа к файлам будут бесполезны, если какая-либо программа сможет напрямую читать с диска.

    Точнее, благодаря Майклу Петчу: операционная система может разрешить инструкции ввода-вывода на 3-м кольце, это фактически контролируется сегментом состояния задачи.

    То, что не возможно, для кольца 3, чтобы дать себе разрешение сделать это, если у него не было его во-первых.

    Linux всегда запрещает это. См. Также: Почему Linux не использует аппаратное переключение контекста через TSS?

Как программы и операционные системы переходят между кольцами?

• когда процессор включен, он запускает исходную программу в кольце 0 (что-то вроде, но это хорошее приближение). Вы можете считать эту исходную программу ядром (но обычно это загрузчик, который затем вызывает ядро ​​все еще в кольце 0).

• когда пользовательский процесс хочет, чтобы ядро ​​сделало что-то для него, например, запись в файл, он использует инструкцию, которая генерирует прерывание, такое как int 0x80 сигнализировать ядро.

  Когда это происходит, процессор вызывает и обрабатывает обработчик обратного вызова, который ядро ​​зарегистрировало во время загрузки.

  Этот обработчик работает в кольце 0, который решает, разрешит ли ядро ​​это действие, выполняет действие и перезапускает программу пользователя в кольце 3.

  int 0x80 это старый механизм и обычно не используется, и был заменен sysenter и VDSO на x86 и syscall на x86_64.

  Посмотрите это для минимального примера: что означает "int 0x80" в коде сборки?

• когда exec системный вызов используется (или когда ядро запустится /init), ядро подготавливает регистры и память нового пользовательского процесса, затем оно переходит к точке входа и переключает ЦП на кольцо 3

• Если программа пытается сделать что-то непослушное, например, запись в запрещенный регистр или адрес памяти (из-за подкачки), ЦП также вызывает некоторый обработчик обратного вызова ядра в кольце 0.

  Но поскольку пользовательская область была непослушной, ядро ​​на этот раз может убить процесс или выдать ему предупреждение с сигналом.

• Когда ядро ​​загружается, оно устанавливает аппаратные часы с некоторой фиксированной частотой, которая периодически генерирует прерывания.

  Эти аппаратные часы генерируют прерывания, которые запускают кольцо 0, и позволяют ему планировать, какие процессы пользователя активизируются.

  Таким образом, планирование может происходить, даже если процессы не выполняют никаких системных вызовов.

Какой смысл иметь несколько колец?

Существует два основных преимущества разделения ядра и пользовательского пространства:

• проще создавать программы, так как вы уверены, что одно не будет мешать другому. Например, один пользовательский процесс не должен беспокоиться о перезаписи памяти другой программы из-за подкачки страниц или о переводе оборудования в недопустимое состояние для другого процесса.
• это более безопасно. Например, права доступа к файлам и разделение памяти могут помешать хакерскому приложению читать ваши банковские данные. Это предполагает, конечно, что вы доверяете ядру.

Как поиграть с этим?

Я создал "голую железную" установку, которая должна быть хорошим способом для непосредственного управления кольцами: https://github.com/cirosantilli/x86-bare-metal-examples

К сожалению, у меня не хватило терпения сделать пример пользовательского пространства, но я дошел до настройки пейджинга, поэтому пользовательское пространство должно быть выполнимым. Я хотел бы видеть запрос на получение.

Кроме того, модули ядра Linux работают в кольце 0, поэтому вы можете использовать их для проверки привилегированных операций, например, для чтения управляющих регистров: как получить доступ к управляющим регистрам cr0,cr2,cr3 из программы? Получение ошибки сегментации

Вот удобная настройка QEMU + Buildroot, чтобы попробовать ее, не убивая своего хоста.

Недостатком модулей ядра является то, что другие kthreads работают и могут мешать вашим экспериментам. Но в теории вы можете взять на себя все обработчики прерываний с вашим модулем ядра и владеть системой, это будет действительно интересный проект.

Отрицательные кольца

Хотя отрицательные кольца фактически не упоминаются в руководстве Intel, на самом деле существуют режимы ЦП, которые имеют более широкие возможности, чем само кольцо 0, и поэтому хорошо подходят для имени "отрицательного кольца".

Одним из примеров является режим гипервизора, используемый в виртуализации.

Для получения дополнительной информации см.: https://security.stackexchange.com/questions/129098/what-is-protection-ring-1

РУКА

В ARM кольца называются уровнями исключения, но основные идеи остаются прежними.

В ARMv8 существует 4 уровня исключений, которые обычно используются как:

• EL0: пользовательская область

• EL1: ядро

• EL2: гипервизоры, например Xen.

  Гипервизор для ОС, то же самое, что ОС для пользователя.

  Гипервизор регистрирует обратные вызовы для вызовов супервизора и запускает ОС. Затем ОС выполняет гипервизорные вызовы для этих обратных вызовов, точно так же, как пользовательская область выполняет системные вызовы для ОС.

  Например, Xen позволяет запускать несколько ОС, таких как Linux или Windows, в одной и той же системе одновременно, и он изолирует ОС друг от друга для обеспечения безопасности и простоты отладки, как это делает Linux для пользовательских программ.

  Гипервизоры являются ключевой частью современной облачной инфраструктуры: они позволяют нескольким серверам работать на одном оборудовании, поддерживая использование оборудования всегда близким к 100% и экономя много денег.

  Например, AWS использовала Xen до 2017 года, когда новость о переходе на KVM.

• EL3: еще один уровень. Обоснование TODO. ARM Trusted Firmware предоставляет эталонную реализацию.

Эталонная модель архитектуры ARMv8 DDI 0487C.a - Глава D1 - Модель программиста на уровне системы AArch64 - Рисунок D1-1 прекрасно иллюстрирует это:

Обратите внимание, что ARM, возможно, благодаря ретроспективному анализу, имеет лучшее соглашение об именах для уровней привилегий, чем x86, без необходимости отрицательных уровней: 0 является самым низким, а 3 самым высоким. Более высокие уровни, как правило, создаются чаще, чем более низкие.

Текущий EL может быть запрошен с MRS инструкция: каков текущий режим выполнения / уровень исключения и т. д.?

ARM не требует присутствия всех уровней исключений, чтобы обеспечить реализации, которым не требуется функция для экономии площади микросхемы, за счет большей фрагментации экосистемы. ARMv8 D1.1 "Уровни исключения" гласит:

Реализация может не включать все уровни исключений. Все реализации должны включать EL0 и EL1. EL2 и EL3 являются необязательными.

QEMU, например, по умолчанию EL1, но EL2 и EL3 можно включить с помощью параметров командной строки: qemu-system-aarch64 вводит el1 при эмуляции включения a53

Вызовы старших EL, такие как системные вызовы ядра пользователя, выполняются с помощью следующих инструкций:

• на EL1: svc (вызов супервизора) Аналогично syscall в x86_64.
• на EL2: hvc (вызов гипервизора)
• до EL3: smc (безопасный вызов монитора)

hyp а также smc звонки должны следовать официальному соглашению о вызовах.