x86のリング、特権レベル、および保護

おそらく、Intel x86コンピューターで実行されるアプリケーションの機能は制限されており、一部のアクションはオペレーティングシステムのみで実行できることを直感的に推測したでしょう。 しかし、これが実際にどのように機能するか知っていますか？ この投稿では、x86特権レベルについて説明します。x86特権レベルは、OSとプロセッサが連携して、ユーザーモードアプリケーションが実行できることを制限するメカニズムです。





Gustavo Duarte記事の翻訳： CPUリング、特権、および保護



4つの特権レベルがあり、0（最高特権レベル）、3（最低特権レベル）、およびプロセッサー保護メカニズムによって保護される3種類のリソース（メモリー、I / Oポート、特定の命令を実行する機能）から番号が付けられています。 いつでも、x86プロセッサは特定の特権レベルで実行され、コードができることとできないことによって異なります。 特権レベルは、保護リングとも呼ばれ、入れ子の円として表されます。 最も特権レベルは、ネストの度合いが最も高いサークルに対応します。 最新のx86コアのほとんどは、0と3の2つの特権レベルのみを使用しています。



順序15命令（および数ダース）の実行は、リング0でのみ可能です。他の命令には、有効なオペランドに関連する制限があります。 これらの制限が存在しない場合、保護メカニズムの機能を保証することは不可能です。 これらの指示はそれらを回避するか、他の負の結果をもたらす可能性があります。 制限が存在する命令は、カーネルコードでのみ使用できます。 ゼロリングの外側でそれらを実行しようとすると、＃GP（一般保護例外）例外が発生します。 たとえば、プログラムが無効なメモリアドレスにアクセスしようとした場合など、まったく同じ例外が発生します。 同様に、特権レベルに応じて、メモリおよびI / Oポートへのアクセスが制限されます。



セキュリティメカニズムを見る前に、プロセッサが現在の特権レベルを監視する方法を見てみましょう。 以前の投稿で調べたセグメントセレクターは、これに直接関連しています。 ここにあります：







プログラマーは、特定の命令を使用して、データセグメントのセグメントセレクターをデータのセグメントレジスタ（SSやDSなど）のいずれかにロードします。 この場合、要求された特権レベル（RPL）フィールドを含むセグメントセレクターの内容全体がロードされます。その目的については、もう少し詳しく説明します。 CSレジスタに関しては、ここではすべてが少し異なります。 まず、movなどのロード命令を直接使用して、このレジスタにセレクターをロードすることはできません。 代わりに、レジスタの内容は、ファーコールなどの実行フローを制御する命令を実行した結果としてのみ変更できます。 第二に、これは私たちにとって非常に重要です、プログラマによって値が決定されるRPLフィールドの代わりに、CSレジスタのセレクタには現在の特権レベル（CPL）フィールドがあり、その値はプロセッサ自体によって設定および制御されます。 CSレジスタの2ビットCPLフィールドは、常にプロセッサが動作する現在の特権レベルを反映しています。 インターネットで公開されているものを含むIntelドックでは、この問題に違いがある場合がありますが、この事実は物事の本質を正確に反映しています。 いつでも、プロセッサ自体で発生しないように、CSレジスタのCPLフィールドの値を見て、コードが実行される現在の特権レベルを常に見つけます。



プロセッサの現在の特権レベルは、オペレーティングシステムのユーザーによる特権とは関係がないことに注意してください。 root、管理者、ゲスト、一般ユーザーなど、どのアカウントで作業しているかは関係ありません。 すべてのユーザーアプリケーションのコードはリング3で実行され、カーネルに関連するコードはリング0で実行されます。カーネルに典型的な一部のタスクはユーザースペースに転送できます。たとえば、一部のドライバーはWindows Vistaで実装されますが、これは、特別な種類のプロセスがカーネルに対して何らかの作業を行う場合にのみ、特別なケースと見なすことができます。 通常、彼らは深刻な結果なしに殺されることができます。



メモリおよび入力/出力ポートへのアクセスに関する既存の制限により、ユーザーモードで実行されるプログラムは実際には「環境」に影響を与えることができず、カーネルの助けなしでは何もできません。 このようなプログラムは、ファイルを開いたり、ネットワークパケットを送信したり、テキスト行を表示したり、自身にメモリを割り当てたりすることはできません。 ユーザープロセスは、「ゼロリングオブゼロリング」によって準備された、根本的に切り捨てられた機能を持つ一種のサンドボックスで実行されると言えます。 したがって、プロセスが原因でメモリリークが発生した場合、プロセスの存続期間中に開かれたファイルが完了後も開かれたままにならないように、プロセス自体に耐えることができません。 そのようなことを制御するために使用されるすべてのデータ構造（割り当てられたメモリ、開いているファイル）は、ユーザーコードでは使用できません。 プログラムの実行が完了するとすぐに、その「サンドボックス」はカーネルによって破壊されます。 これが、最新のサーバーが600時間の稼働時間を持つことができる理由です-ハードウェアまたはカーネルに障害がなければ、すべてが永久に機能します。 ところで、これがWindows 95/98が頻繁にクラッシュする理由です。いいえ、「M $が悪い」という理由ではありません。下位互換性を確保するためだけに、重要なデータ構造がユーザーモードアプリケーションで使用可能です。 当時、これはおそらく妥当な妥協案でしたが、非常に高価です。



プロセッサは、2つの戦略的なポイントでメモリを保護します。セグメントセレクタをレジスタにロードしようとしたとき、およびメモリページにアクセスしたときです。 したがって、保護メカニズムは、アドレス変換の主要な段階を反映しており、セグメンテーションとページングも含まれます。 セグメントセレクターをロードしようとすると、次のチェックが行われます。







数値が大きいほど、それが示す特権レベルは低くなります。 したがって、MAX（）関数は、最小特権レベル（CPLまたはRPL）を表す値を選択し、ターゲット記述子（DPL）の特権レベルと比較します。 DPLが以上の場合、アクセスが許可されます。 この式でRPLを使用する全体のポイントは、必要に応じてカーネルが意図的に低い特権レベルでセグメントにアクセスできるようにすることです。 たとえば、一部の操作をユーザーモードのデータセグメントでのみ機能するように制限するために、RPLが3に設定されているセレクターを使用できます。 セレクタをSSレジスタにロードするときのチェックは異なります。ここでは、正常に通過するには、CPL、RPL、およびDPLの3つの値がすべて一致する必要があります。

実際には、セグメントレベルでの保護は特別な役割を果たしません。これは、最新のカーネルが、ユーザーモードセグメントが利用可能なすべての物理アドレス空間をカバーする「フラットな」メモリ構成モデルを使用するためです。 線形アドレスを物理アドレスに変換するときに、ページングユニットでいくつかの有用なメモリ保護が提供されます。 メモリの各ページは一連のバイトであり、ページテーブルのエントリによって記述されます。 このエントリでは、2つのフィールド、つまりスーパーバイザフラグと読み取り/書き込みフラグがセキュリティメカニズムに関連しています。 スーパーバイザフラグは、最新のカーネルで使用される主要な防御メカニズムです。 このフラグをクリアすると、リング3からページにアクセスできなくなります。読み取り/書き込みフラグは特権のチェックには何の役割も果たしませんが、それでも興味深いアプリケーションを見つけます。 プログラムが実行のためにメモリにロードされると、プログラムの実行可能イメージを格納するメモリページは読み取り専用としてマークされます。 これにより、ポインターを使用するときにエラーをキャッチできます。エラーを使用すると、これらのページへの書き込みが試行されます。 読み取り/書き込みフラグは、Unixライクなオペレーティングシステムでfork（）システムコールを使用して子プロセスを作成するときに、コピーオンライトメカニズムを実装するためにも使用されます。 フォークが作成されると、親プロセスのメモリページは読み取り専用としてマークされます。 子プロセスは、最初は親プロセスと同じメモリページを使用します。 それらのいずれかがメモリページに書き込もうとすると、プロセッサがフォールトを開始し、カーネルは次のようにそれを実行します-ページの独自のコピーを書き込もうとしたプロセス用に作成し、このページの読み取り/書き込み権限も設定します。



どうぞ CPUが異なる特権レベルを切り替えることができるメカニズムが必要です。 リング3で実行されているコードがカーネル内の任意の場所に制御を転送できる場合、間違った（または正しい？）アドレスでjmpを実行するだけで、オペレーティングシステムの保護メカニズムを簡単にバイパスできます。 これを防ぐには、実行フローの制御された転送を提供するメカニズムが必要です。 いわゆるに基づいて実装されます。 ゲート記述子またはsysenter命令。 ゲート記述子は、タイプ「システム」のセグメント記述子です。 コールゲート、割り込みゲート、トラップゲート、タスクゲート記述子の4種類があります。 コールゲート記述子を介して、カーネルは、ファーコールやファージャンプなどの通常の命令で使用できるエントリポイントを提供できます。 呼び出しゲート記述子はあまり使用されないため、それらについては説明しません。 タスクゲート記述子もあまり関心がありません（Linuxでは、通常はカーネルまたはハードウェアの問題が原因で発生する二重障害を処理する場合にのみ使用されます）。



さらに2つの興味深いタイプの記述子が残ります。ハードウェア割り込み（キーボード、タイマー、ディスク）と例外（ページ違反、ゼロ除算）を処理するために使用される割り込みゲートとトラップゲート。 これらのタイプのメカニズムの両方は、私が勝手に「割り込み」と呼びます。 このタイプの記述子は、割り込み記述子テーブル（IDT）に格納されます。 各割り込みには、ベクトルと呼ばれる0〜255の識別番号が割り当てられます。 割り込みの処理に使用する記述子を決定する必要がある場合、プロセッサはIDTの記述子へのポインタとしてベクトルを使用します。 割り込みゲートおよびトラップゲート記述子の形式は実質的に同じです。 この形式と、割り込みが発生したときに実行される特権チェックを図に示します。 いくつかの記述子フィールドに、Linuxカーネルが仕様を追加するために一般的に使用する値を入力しました。







アクセスは、ターゲットセグメントの現在のCPLとDPLに基づいて制御され、エントリポイントは、ゲート記述子のセレクタとオフセットフィールドに基づいて決定されます。 現代のカーネルでは、通常、ゲート記述子の対応するフィールドに含まれるセグメントセレクターがカーネルのコードセグメントを選択します。 割り込みメカニズムは、より特権のあるリングから特権の低いリングに制御を転送するために使用できないように設計されています。 特権レベルは同じままにするか、増やす必要があります（たとえば、アプリケーションのユーザーモードが中断された場合に発生します）。 いずれの場合でも、新しいCPL値はターゲットコードセグメントのDPLと等しくなります。 CPLが変更される状況では、スタックセグメントも自動的に切り替わります。 割り込みがプログラム的な場合（たとえば、INT n命令の実行により）、さらに1つのチェックが実行されます。ゲートDPLは元のCPL以上である必要があります。 このテストは、ユーザーコードがアクセスできない割り込みハンドラーを呼び出すように設計されています。 Linuxでは、すべての割り込みハンドラーはリング0で実行されます。



初期化中に、Linuxカーネル関数setup_idt（）は、記述子に特定のエントリポイントを指定せずにIDTテーブルを作成します。 次に、/ asm-x86 / desc.hおよびarch / x86 / kernel / traps_32.cなどのファイルの内容に従って、記述子にデータが書き込まれます。 Linuxの用語では、名前に「システム」という語が含まれる記述子は、ユーザーモードコードで使用できます。また、DPLゲートは3に設定されます。「システムゲート」は、ユーザーモードコードで使用できるインテリジェントトラップゲートです。 さらに、用語の違いはもうありません。 ハードウェア割り込みはここではなく、対応するドライバーで構成されます。



ユーザーモードでは3つのゲートを使用できます。ベクター3と4は、それぞれ数値オーバーフローのデバッグとチェックに使用されます。 次に、SYSCALL_VECTOR定数の値に等しいIDを持つシステムゲートがあります。x86アーキテクチャの場合は0x80です。 以前は、これはシステムコールを行うときにカーネルに制御を移すための主要なメカニズムでした。 「int 0x80」という文字の凶悪犯番号も必要なときがありました。 Pentium Proから、システムコールを高速化するために設計された新しいsysenter命令が追加されました。 この命令は、コードセグメント、エントリポイントなどに関する情報を格納する特殊レジスタを使用します。 sysenter命令が実行されると、特権レベルはチェックされず、プロセッサはすぐにCPL 0に切り替わり、対応する値をコードとスタック（CS、EIP、SS、およびESP）に関連するレジスタにロードします。 sysenter命令が使用するレジスターへの値のロードは、リング0からのみ可能であり、enable_sep_cpu（）関数によって実行されます。



最後に、リング3に戻るとき、カーネルはIRETまたはSYSEXIT命令を使用して、割り込みまたはシステムコールをそれぞれ処理した後に制御を取り戻します。 その結果、リング0のままになり、CPLが3のユーザーモードコードが再開されます。Vimは、単語数が既に1900に近いことを教えてくれます。 ご清聴ありがとうございました！