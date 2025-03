টিএলডিআর; X86_64 এ লিনাক্স কার্নেল সংস্করণ 6.9 থেকে শুরু করে একটি নতুন কনফিগার বিকল্প রয়েছে CONFIG_X86_FRED সক্ষম এবং এটি 16 বাইট যোগ করে কোনও টাস্কের কার্নেল স্ট্যাক অঞ্চলের সূচনা পয়েন্টে, সুতরাং আপনাকে আপনার “কাঁচা” কার্নেল স্ট্যাক এবং পিটি_রেগস লুকআপ কোডে এই অতিরিক্ত প্যাডিংয়ের জন্য অ্যাকাউন্ট করতে হবে।

ভূমিকা

আমি প্রকাশের পর থেকে আমার প্রধান ইবিপিএফ বিকাশ এবং পরীক্ষার প্ল্যাটফর্ম হিসাবে উবুন্টু 24.04 ব্যবহার করছি। এটি লিনাক্স কার্নেল সংস্করণ 6.8.0 দিয়ে প্রেরণ করা হয়েছে, তবে ক্যানোনিকাল সম্প্রতি এটির জন্য একটি al চ্ছিক নতুন কার্নেল (এইচডব্লিউই) সংস্করণ 6.11 প্রকাশ করেছে। সুতরাং, স্বাভাবিকভাবেই আমি সর্বশেষ সংস্করণে আপগ্রেড করেছি (লিনাক্স-ইমেজ-জেনারিক-এইচডব্লিউই -24.04-> 6.11.0) এবং এগিয়ে।

তারপরে, হঠাৎ আমার 0x.tools এক্সক্যাপচার-নেক্সট (ভি 3) ইবিপিএফ প্রোটোটাইপ বর্তমান সিস্টেম কল এবং তার পর্যবেক্ষণকৃত ওএস থ্রেডগুলির যুক্তি নমুনাগুলির জন্য আবর্জনার মানগুলি ফিরিয়ে দেওয়া শুরু করেছে। পুরানো 6.8.0 কার্নেলের সাথে বুট আপ করার সময় কোনও সমস্যা নেই।

এক্সক্যাপচার-নেক্সট (ভি 3) সরঞ্জাম প্যাসিভ নমুনা অন্যান্য থ্রেডের ক্রিয়াকলাপ এবং তাদের পড়ার মাধ্যমে রাজ্য task_struct কার্নেল মেমরিটি বাইরে পর্যবেক্ষককে ডিকোপলড হিসাবে ইনজেকশন দেওয়ার প্রয়োজন ছাড়াই যে কোনও অন্যান্য কার্য সম্পাদনের পথে প্রোব বা ট্রেসপয়েন্টগুলি। এটি আমাদের তৈরির জন্য একটি দুর্দান্ত সূচনা পয়েন্ট দেয় প্রাচীর-ঘড়ির সময়ের জন্য শীর্ষ লিনাক্সে সরঞ্জাম, ছাড়া যে কোনও সিস্টেমে আপনার অন্যান্য সমস্ত থ্রেডের জন্য মন্দা (বিপিএফের সাথে প্যাসিভ স্যাম্পলিংয়ের জন্য ধন্যবাদ টাস্ক ইটারেটর)।

“আবর্জনা” দ্বারা, আমার অর্থ হ’ল আমার ইবিপিএফ টাস্ক ইটারেটর প্রোগ্রাম যা অন্যান্য সমস্ত থ্রেডের মধ্য দিয়ে লুপ করে ‘ টাস্ক_স্ট্রাক্ট তথ্য এবং অ্যাক্সেস করা জিনিস task->stack->pt_regs->orig_ax বর্তমান সিস্টেম কল নম্বরটি পেতে (যদি কোনও টাস্ক কোনও সিস্টেম কল হয়), হঠাৎ করেই রিপোর্ট করা হয় যে সমস্ত ব্যবহারকারী স্পেস থ্রেড একটিতে ছিল getsockname পূর্ববর্তী পরীক্ষায় দেখা তাদের সাধারণ নামগুলির পরিবর্তে সিস্কল। এটি স্পষ্টভাবে সঠিক ছিল না, তাই আমি তদন্ত শুরু করেছি:

$ grep getsockname syscall_x86_64.tbl 51 common getsockname sys_getsockname

রিপোর্ট করা সিস্কলের এনআর 51 – আমি প্রথমে ভাবলাম যে আমার ইবিপিএফ প্রোগ্রামটি নতুন কার্নেলের উপর কিছু মেমরি অ্যাক্সেস লঙ্ঘন করেছে এবং এক্সক্যাপচার ফ্রন্টেন্ডটি ভুলভাবে সেই ত্রুটি কোডটিকে একটি সিস্কাল নম্বর হিসাবে বিবেচনা করেছে (EACCESS ERRNO 13 এবং ইফাল্ট 14):

$ grep 51 include/uapi/asm-generic/errno.h #define EL2HLT 51 /* Level 2 halted */

হ্যাঁ, এটি আমার সমস্যার মতো দেখাচ্ছে না। এরনো 51 হ’ল প্রত্নতাত্ত্বিক এবং রহস্যজনক কিছু এবং আমি মনে করি না যে এটি সত্যিই কোথাও ব্যবহৃত হয়েছে-এবং লিনাক্স সোর্স কোডের মাধ্যমে একটি গ্রেপ নিশ্চিত করেছে যে (যদিও এটি চাইলে কিছু গাছের বাইরে মডিউল এখনও এটি বাড়াতে পারে)।

আমি তখন আমার ইবিপিএফ কোডটি ব্যবহারের জন্য পরিবর্তন করেছি BPF_CORE_READ_INTO ম্যাক্রোস (পরিবর্তে BPF_CORE_READ ) যা ফলাফল/ত্রুটি কোড এবং প্রকৃত মানটি পৃথক ভেরিয়েবল হিসাবে পড়া এবং এটি নিশ্চিত করেছে যে আমি কোনও কার্নেল মেমরি পড়ার ত্রুটিগুলি আঘাত করছি না। আমি যে মেমরির ঠিকানাটি পড়ছিলাম সবেমাত্র একটি মান ধরে রাখার জন্য ঘটেছে 51 এটিতে, তবে কেবলমাত্র নতুন 6.11 কার্নেলের সাথে ইনস্টলেশনটি বুট করার সময়, একই সিস্টেমে আগের 6.8 কার্নেলের সাথে নয় যা পুরোপুরি সূক্ষ্মভাবে কাজ করেছে।

দীর্ঘ গল্প সংক্ষিপ্ত: x86_64 প্ল্যাটফর্মগুলিতে, লিনাক্স কার্নেল v6.9 থেকে শুরু করে, একটি নতুন বৈশিষ্ট্য রয়েছে বলে ফ্রেড (নমনীয় রিটার্ন এবং ইভেন্ট ডেলিভারি সিস্টেম) ডিফল্টরূপে সক্ষম করা এবং এটি কার্নেল স্ট্যাক এরিয়া ইনিশ/ব্যবহারের আচরণকে প্রভাবিত করে। 16 টি অতিরিক্ত বাইট একটি টাস্কের কার্নেল-সাইড স্ট্যাকের নীচে বরাদ্দ করা হয়, এর আগে pt_regs কাঠামো বরাদ্দ করা হয় এবং এর পরে ব্যবহারকারীস্পেস থেকে সিস্কাল প্রবেশের পরে স্থাপন করা হয়। সংজ্ঞাটি রয়েছে /চ/x86/include/asm/thread_info.h কার্নেল উত্সে (ফ্রেডের জন্য অনুসন্ধান করুন)।

আমার 2 টি কার্নেল ইনস্টল করা আছে, 6.8 এবং 6.11:

$ ls -l /boot/config-6.* -rw-r--r-- 1 root root 292076 Jan 20 15:47 /boot/config-6.11.0-17-generic -rw-r--r-- 1 root root 287562 Jan 17 07:05 /boot/config-6.8.0-53-generic

আমি যখন গ্রেপ CONFIG_X86_FRED পরিবর্তনশীল, 6.8 এর মতো বৈশিষ্ট্য পতাকা নেই!

$ grep CONFIG_X86_FRED /boot/config-6.* /boot/config- 6.11 .0-17-generic:CONFIG_X86_FRED=y

লিনাক্স থ্রেড_ইনফো.এইচ x86 এর জন্য এটি দেখায়:

... #ifdef CONFIG_X86_32 # ifdef CONFIG_VM86 # define TOP_OF_KERNEL_STACK_PADDING 16 # else # define TOP_OF_KERNEL_STACK_PADDING 8 # endif #else /* x86-64 */ # ifdef CONFIG_X86_FRED # define TOP_OF_KERNEL_STACK_PADDING (2 * 8) # else # define TOP_OF_KERNEL_STACK_PADDING 0 # endif #endif ...

এই পতাকাটি v6.9-rc1 এ প্রদর্শিত হয়েছে, যাতে আমার আগের 6.8 কার্নেলের এই সমস্যাটি কেন ছিল না তা ব্যাখ্যা করে, তবে 6.11 করেছে!

ফ্রেড কি?

ফ্রেড কি? এটি মূলত ইন্টেল সিপিইউগুলিতে আরও একটি সিপিইউ প্রিভিলেজ লেভেল স্যুইচিং (এবং ফিরে আসা) অপ্টিমাইজেশন, কিছুটা বাড়াতে বিবর্তনের মতো int 0x80 বাধা শুধু দৌড়াতে syscall বা sysenter অন্তর্নির্মিত সিপিইউ নির্দেশাবলী দ্রুত প্রসঙ্গ এবং প্রিভিলেজ স্তরের জন্য সিস্টেম কলগুলি অনুরোধে স্যুইচিংয়ের জন্য। ফ্রেড (ইন্টেল সিপিইউগুলিতে) আমাদের দুটি ব্র্যান্ডের নতুন নির্দেশনা এনেছে ERETU এবং ERETS । আপনি পুরো ইন্টেল ফ্রেড আর্কিটেকচার স্পেকটি পড়তে পারেন (তবে আমি তা করি নি), আমি যে সেরা সংক্ষিপ্তসারটি পেয়েছি তা এই নিবন্ধে:

স্পষ্টতই, ফ্রেডের অর্থ হ’ল ইন্টেল সিপিইউগুলি চারটি সিপিইউ প্রিভিলেজ লেভেল (রিং 0-3) থেকে দূরে সরে যাচ্ছে যে কোনওভাবেই যে কোনওভাবেই ব্যাপকভাবে ব্যবহার করা হয়নি, কেবল দু’জনের কাছে ফিরে – বিশেষাধিকারী এবং অ -নমনীয়।

আমার ইবিপিএফ কোডে গতিশীল ফ্রেড-সনাক্তকরণ বাস্তবায়ন

EBPF কার্নেল-ল্যান্ড থেকে এই জাতীয় সংকলন-সময় ধ্রুবক বা বিল্ড-টাইম সেটিংস পড়া সহজ নয়, সুতরাং x86 এ এক্সক্যাপচারে ফ্রেড সনাক্ত করার জন্য আমার বর্তমান (অপ্রকাশিত) কোড স্নিপেট মোটামুটিভাবে অনুসরণ করছে।

আমি একটি কাস্টম সংজ্ঞায়িত করেছি ফ্রেড_ইনফো___চেক একটি পৃথক .H ফাইলে কাঠামো, যাতে প্রোগ্রামটি এখনও প্রকৃত ফ্রেডের জ্ঞান ছাড়াই কার্নেলগুলিতে সংকলন করে ফ্রেড_ইনফো কাঠামো। স্ট্রাক্ট নামের ট্রিপল আন্ডারস্কোর “___” এর একটি বিশেষ অর্থ রয়েছে।

struct fred_info ___ check { long unsigned int edata; } __attribute__((preserve_access_index));

এবং মূল .বিপিএফ.সি প্রোগ্রাম কোড থেকে একটি স্নিপেট:

// Default page size and thread stack size (THREAD_SIZE) configuration #define PAGE_SIZE 4096 #define KASAN_STACK_ORDER 0 #define THREAD_SIZE_ORDER (2 + KASAN_STACK_ORDER) #define THREAD_SIZE (PAGE_SIZE << THREAD_SIZE_ORDER) // x86_64 only (CONFIG_X86_FRED) #define TOP_OF_KERNEL_STACK_PADDING_FRED (2 * 8) // The PT_REGS structure is located at the "top" (highest address) of the kernel stack static __always_inline struct pt_regs *get_task_pt_regs(struct task_struct *task) { // will use true=1 and false=0 for regs_addr calculation later on const bool fred_enabled = bpf_core_type_exists(struct fred_info___check) ; __u64 stack_base = (__u64) BPF_CORE_READ(task, stack); if (!stack_base) return NULL; __u64 regs_addr = ( stack_base + THREAD_SIZE - (fred_enabled * TOP_OF_KERNEL_STACK_PADDING_FRED) - sizeof(struct pt_regs) ); struct pt_regs *regs = (struct pt_regs *) regs_addr; return regs; }

আমি শীঘ্রই সম্পূর্ণ কোড সহ এক্সক্যাপচার-নেক্স্টের পরবর্তী সংস্করণটি প্রকাশ করব, সুতরাং আপনি দেখতে পাবেন কীভাবে গতিশীল এবং সরাসরি কার্নেল বৈশিষ্ট্য সনাক্তকরণ কাজ করে। আমি একটি ব্যবহার করছি bpf_core_type_exists ফ্রেডের দ্বারা যুক্ত নতুন কার্নেল কাঠামোগুলি উপস্থিত রয়েছে কিনা তা দেখার কৌশল বর্তমানে চলছে কার্নেল এবং আমার সাথে অতিরিক্ত “প্যাডিং” যুক্ত করবেন কিনা তা স্থির করুন pt_regs তার উপর ভিত্তি করে লজিক সন্ধান করুন।

কয়েকটি বিবরণ মনে রাখার মতো

ফ্রেড একটি ইন্টেল x86 প্ল্যাটফর্ম বৈশিষ্ট্য। এএমডির (বা থাকবে) এছাড়াও অনুরূপ কিছু রয়েছে, তবে যেহেতু এএমডি এবং ইন্টেল উভয়ের জন্য একক x86 বিল্ড রয়েছে x86_64 তাহলে এই ফ্রেড প্যাডিং এএমডি মেশিনেও কিকস।

তাহলে এই ফ্রেড প্যাডিং এএমডি মেশিনেও কিকস। ফ্রেড-আচরণ ব্যবহার করে অক্ষম করা fred=off কার্নেল বুট যুক্তি হিসাবে যতক্ষণ না এই অতিরিক্ত স্ট্রাক্ট/প্যাডিং অপসারণ করবে না CONFIG_X86_FRED আপনার কার্নেলে সক্ষম বিল্ড সেটিংস এবং আপনি সম্পূর্ণ নতুন কার্নেল সংকলন করবেন না।

কার্নেল বুট যুক্তি হিসাবে যতক্ষণ না এই অতিরিক্ত স্ট্রাক্ট/প্যাডিং অপসারণ করবে না আপনার কার্নেলে সক্ষম বিল্ড সেটিংস এবং আপনি সম্পূর্ণ নতুন কার্নেল সংকলন করবেন না। এটি এমন প্রোগ্রামগুলিকে প্রভাবিত করবে না যা কেবলমাত্র ইবিপিএফ প্রোবগুলি উপস্থিত স্ট্যান্ডার্ড আর্গুমেন্টস এবং স্ট্রাক্টগুলি অনুসরণ করে/তা অনুসরণ করে। অন্তর্নির্মিত বিপিএফ_কোর_* হেল্পার ফাংশন এবং সংশ্লিষ্ট বিপিএফ_কোর_* ম্যাক্রোগুলি নতুন কার্নেল সংস্করণগুলিতে প্রবর্তিত যে কোনও “বিস্ময়” এর যত্ন নেওয়া উচিত এবং আপনার কাছ থেকে সেই জটিলতাটি লুকিয়ে রাখতে হবে।

যে মুহুর্তে আপনি “কাঁচা” ইবিপিএফ প্রোগাম অঞ্চলে প্রবেশ করবেন, আপনাকে যে কোনও অন্তর্নিহিত আচরণের পরিবর্তনগুলি এবং ঠিকানাটি নিজেকে স্থানান্তরিত করতে হবে। এক্ষেত্রে আমি বেসিক স্বাক্ষরযুক্ত দীর্ঘ আইএনটিগুলিতে কাস্টম (নন-বিটিএফ) মেমরি ঠিকানা গাণিতিক করছিলাম এবং পরে কোনও স্ট্রাক্ট ঠিকানায় ফলাফলের সংখ্যাটি “কাস্টিং” করে। ইবিপিএফ যাচাইকারী ধন্যবাদ আমাকে এটি করার অনুমতি দিয়েছিল, তবে প্রদত্ত প্ল্যাটফর্ম এবং কার্নেল সংস্করণে – আমি কী করছি তা আরও ভালভাবে জানা উচিত!

আমি আশা করি এই নিবন্ধটি কয়েক ঘন্টা হেড-স্ক্র্যাচিং এবং সমস্যা সমাধানের সময় সাশ্রয় করে ভবিষ্যতের কিছু ইবিপিএফ বিকাশকারীদের সেখানে ওয়েব-অনুসন্ধানকারীদের মধ্যে পরিণত হয়েছে, ঠিক যেমন আমার এক সপ্তাহ আগে 🙂

