Linux 5.12引入一个新的内存错误检测工具:KFENCE(Kernel Electric-Fence,内核电子栅栏)。KFENCE是一个低开销的、基于采样的内存错误检测工具。KFENCE检测越界访问、释放后使用和非法释放(包括重复释放和释放的起始地址不是分配的起始地址)这3种错误。
KFENCE和KASAN是互补的。KASAN可以检测KFENCE支持的所有缺陷种类。KASAN依靠编译器插桩,对每个内存访问都检查地址的合法性,更精确,但是导致内核的性能下降,所以KASAN只适合测试环境。KFENCE使用采样的方法,牺牲了精度,但是性能开销几乎为零,它被设计为在产品内核中使用,发现在测试环境中测试用例没有执行的代码路径中的缺陷。
目前只有x86_64和ARM64两种架构支持KFENCE。
1. 使用方法
KFENCE的配置宏如下。
(1) 配置宏CONFIG_KFENCE。
(2) 配置宏CONFIG_KFENCE_SAMPLE_INTERVAL,用来指定采样间隔,单位是毫秒,默认值是100毫秒。把这个配置宏设置为0表示默认禁止KFENCE。
(3) 配置宏KFENCE_NUM_OBJECTS,用来指定KFENCE内存池里面的对象数量,取值范围是1~65535,默认值是255。
可以使用内核启动参数“kfence.sample_interval”在启动时指定采样间隔,单位是毫秒,设置为0表示禁止KFENCE。
KFENCE通过debugfs文件系统提供了一些调试信息,如下。
(1) 文件“/sys/kernel/debug/kfence/stats”提供运行时的统计值。
(2) 文件“/sys/kernel/debug/kfence/objects”提供通过KFENCE分配的对象的列表,包括已经释放但是受保护的对象。
2. 技术原理
KFENCE使用一个固定长度的内存池,如图2.1所示。配置宏CONFIG_KFENCE_NUM_OBJECTS指定对象的数量。每个对象需要2页,一页用来存放对象自身,另一页用作警戒页(guard page)。对象页和警戒页交替出现,每个对象页被两个警戒页包围。内存池的长度是“(对象数量 + 1)× 2 ×页长度”。第1页不是必需的,增加这一页是因为分配偶数个物理页可以简化把对象页地址转换为对象索引的计算。
在采样间隔到期以后,下一次从SLAB分配器(或者SLUB分配器)分配内存的时候,从KFENCE内存池分配一个对象(只支持分配长度不超过一页),如果内存池用完了,那么返回空指针,由SLAB分配器分配。
如果访问对象的时候越界访问到警戒页,那么触发页错误异常。在页错误异常处理程序里面,KFENCE拦截页错误异常,报告一个越界访问,如果开启了“panic_on_warn”(通过内核启动参数“panic_on_warn”开启,或者执行命令“echo 1 > /proc/sys/kernel/panic_on_warn”开启),那么重启设备,否则把正在访问的警戒页设置为可以访问,让出错的代码继续执行。
为了检测出在对象页里面的越界写,KFENCE使用红色区域。对象页有2种布局,如下。
(1)如图2.2所示,对象在对象页的前半部分,红色区域在对象页的后半部分。这种布局有利于检测左越界,如果向左越界访问左边的警戒页,就会触发页错误异常。
图2.2 对象在对象页的前半部分
(2)如图2.3所示,对象在对象页的后半部分,红色区域在对象页的前半部分。这种布局有利于检测右越界,如果向右越界访问右边的警戒页,就会触发页错误异常。
图2.3 对象在对象页的后半部分
KFENCE在每次分配对象的时候,随机选择一种布局,并且用特定的字符填充红色区域。释放对象的时候,检查红色区域里面的字符是否变化,如果变化,那么报告错误。
释放一个KFENCE对象的时候,KFENCE把对象页设置为不可访问,并且把对象标记为空闲。继续访问这个对象就会触发一个页错误异常,KFENCE报告一个“释放后使用”错误。为了增加检测出“释放后使用”的机会,KFENCE把空闲对象插入空闲链表的尾部,让最早释放的空闲对象先被分配出去。