当一个可执行文件已经为write而open时,此时的可执行文件是不允许被执行的。反过来,一个文件正在执行时,它也是不允许同时被write模式而open的。这个约束很好理解,因为文件执行和文件被写应该需要同步保护,因此内核会保证这种同步。

  那么内核是如何实现该机制的呢?

  Inode结点中包含一个数据项,叫做i_writecount,很明显是用于记录文件被写的个数的,用于同步的,其类型也是atomic_t. 内核中有两个我们需要了解的函数,与write操作有关,分别是:

int get_write_access(struct inode * inode)

{

	spin_lock(&inode->i_lock);

	if (atomic_read(&inode->i_writecount) < 0) {

                spin_unlock(&inode->i_lock);

		return -ETXTBSY;

	}

	atomic_inc(&inode->i_writecount);

        spin_unlock(&inode->i_lock);

	return 0;

}

int deny_write_access(struct file * file)

{

	struct inode *inode = file->f_path.dentry->d_inode;

        spin_lock(&inode->i_lock);

	if (atomic_read(&inode->i_writecount) > 0) {//如果文件被打开了,返回失败

                spin_unlock(&inode->i_lock);

		return -ETXTBSY;

	}

        atomic_dec(&inode->i_writecount);

	spin_unlock(&inode->i_lock);

}

  这两个函数都很简单,get_write_acess作用就和名称一致,同样deny_write_access也是。如果一个文件被执行了,要保证它在执行的过程中不能被写,那么在开始执行前应该调用deny_write_access 来关闭写的权限。那就来检查execve系统调用有没有这么做。

  Sys_execve中调用do_execve,然后又调用函数open_exec,看一下open_exec的代码:

struct file *open_exec(const char *name)

{

	struct file *file;

	int err;

        file = do_filp_open(AT_FDCWD, name,

				O_LARGEFILE | O_RDONLY | FMODE_EXEC, 0,

				MAY_EXEC | MAY_OPEN);

        if (IS_ERR(file))

		goto out;

        err = -EACCES;

	if (!S_ISREG(file->f_path.dentry->d_inode->i_mode))

		goto exit;

        if (file->f_path.mnt->mnt_flags & MNT_NOEXEC)

		goto exit;

        fsnotify_open(file->f_path.dentry);

	err = deny_write_access(file);//调用

       if (err)

		goto exit;

       out:

	return file;

       exit:

	fput(file);

	return ERR_PTR(err);

}

  明显看到了deny_write_access的调用,和预想的完全一致。在open的调用里,应该有get_write_access的调用。在open调用相关的__dentry_open函数中就包含了对该函数的调用,

if (f->f_mode & FMODE_WRITE) {

	error = __get_file_write_access(inode, mnt);

	if (error)

            goto cleanup_file;

	if (!special_file(inode->i_mode))

	  file_take_write(f);

}

  其中__get_file_write_access(inode, mnt)封装了get_write_access.

  那么内核又是如何保证一个正在被写的文件是不允许被执行的呢?这个同样也很简单,当一个文件已经为write而open时,它对应的inode的i_writecount会变成1,因此在执行execve时同样会调用deny_write_access 中读取到i_writecount>0之后就会返回失败,因此execve也就会失败返回。

  这里是写文件与i_writecount相关的场景:
  写打开一个文件时,在函数dentry_open中:

if (f->f_mode & FMODE_WRITE) {

	error = get_write_access(inode);

	if (error)

	goto cleanup_file;

}

  当然在文件关闭时,会将i_writecount--;关闭时会执行代码:

if (file->f_mode & FMODE_WRITE)

	put_write_access(inode);

  put_write_access 代码很简单:

static inline void put_write_access(struct inode * inode)

{

	atomic_dec(&inode->i_writecount);

}

  于是乎自己写了个简单的代码,一个空循环,文件在执行的时候,在bash中,echo 111 >>可执行文件,结果预期之中,返回失败,并提示信息 text file busy.

  那么该机制是否同样适用于映射机制呢,在执行可执行文件时,会mmap一些关联的动态链接库,这些动态链接库是否被mmap之后就不允许被写以及正在写时不允许mmap呢?这个是需要考虑的,因为它关系到安全的问题。因为库文件也是可执行的代码,被篡改同样会引起安全问题。

  Mmap在调用mmap_region的函数里,有一个相关的检查:

if (vm_flags & VM_DENYWRITE) {

        error = deny_write_access(file);

	if (error)

		goto free_vma;

	correct_wcount = 1;

}

  其中,mmap调用中的flags参数会被正确的赋值给vm_flags,对应关系是MAP_DENYWRIRE被设置了,那么VM_DENYWRITE就对应的也被设置。下面写了个简单的代码,做一下测试:

#include <stdio.h>

#include <sys/mman.h>

#include <string.h>

#include <errno.h>

#include <fcntl.h>

#include <unistd.h>

int main()

{

        int fd;

	void *src = NULL;

	fd = open("test.txt",O_RDONLY);

	if (fd != 0)

        {

		if ((src = mmap(0,5,PROT_READ|PROT_EXEC  ,MAP_PRIVATE|        MAP_DENYWRITE,fd,0))== MAP_FAILED)

                {

			printf("MMAP error\n");

			printf("%s\n",strerror(errno));

                }else{

			printf("%x\n",src);

		}

	}

        FILE * fd_t = fopen("test.txt","w");

	if( !fd_t)

	{

                printf("open for write error\n");

		printf("%s\n",strerror(errno));

		return 0;

	}

        if (fwrite("0000",sizeof(char),4,fd_t) != 4)

	{

		printf("fwrite error \n");

	}

        fclose(fd_t);

	close(fd);

	return 1;

}

  最后的test.txt被写成了”0000”,很奇怪,貌似MAP_DENTWRITE不起作用了。于是man mmap查看,发现:

  MAP_DENYWRITE

  This  flag  is ignored.  (Long ago, it signaled that attempts to write to the underlying file should fail with ETXTBUSY. But this was a source of denial-of-service attacks.)

  原来这个标识在用户层已经不起作用了啊,而且还说明了原因,容易引起拒绝式服务攻击。攻击者恶意的将某些系统程序要写的文件以MAP_DENYWRITE模式映射,会导致正常程序写文件失败。不过VM_DENYWRITE在内核里还是有使用的,在mmap中还是有对deny_write_access的调用, 但是对它的调用已经不是由mmap中的flag参数的MAP_DENYWRITE驱动的了。

  那与可执行文件相关的动态链接库文件就悲剧了,大家都知道动态链接库使用的也是mmap,这也导致动态链接库在运行时可以被更改。其实我这就是为了确认这点。这也导致我需要自己写同步控制代码了。我们可以使用inode中的i_security以及file结构的f_secutiry变量来写自己的同步逻辑,就是麻烦了不少,还要写内核模块,哎,工作量又增加了啊。安全问题是个麻烦的问题...

linux 可执行文件与写操作的同步问题的更多相关文章

  1. 关于异步IO与同步IO的写操作区别

    最近这两天都在看IO相关的知识点.一开始太凌乱,太杂,不过终于整理清楚了.觉得杂乱是因为一开始以为异步IO等于非阻塞IO,这完全是两个概念, LINUX下的异步IO有两类,一类为glibc AIO,这 ...

  2. Linux Kernel文件系统写I/O流程代码分析(一)

    Linux Kernel文件系统写I/O流程代码分析(一) 在Linux VFS机制简析(二)这篇博客上介绍了struct address_space_operations里底层文件系统需要实现的操作 ...

  3. NoSQL生态系统——事务机制,行锁,LSM,缓存多次写操作,RWN

    13.2.4 事务机制 NoSQL系统通常注重性能和扩展性,而非事务机制. 传统的SQL数据库的事务通常都是支持ACID的强事务机制.要保证数据的一致性,通常多个事务是不可能交叉执行的,这样就导致了可 ...

  4. Linux数据写操作改进

    Linux的IO操作中数据的写函数int nwrite = write(int fd,void* buf ,int len)表示向fd文件描述符写入len个字节长度的数据报文,但是这并不能保证真正向内 ...

  5. 管道的原子性 linux写操作原子性

    从本质上说,管道也是一种文件,但他又和一般的文件有所不同,管道可以克服使用文件进行通信的两个问题 限制管道的大小.实际上,管道是一个固定大小的缓冲区.在Linux中该换冲区的大小为一页,4k 使得他的 ...

  6. Linux下多任务间通信和同步-信号

    Linux下多任务间通信和同步-信号 嵌入式开发交流群280352802,欢迎加入! 1.概述 信号是在软件层次上对中断机制的一种模拟,是一种异步通信方式.信号可以直接进行用户空间进程和内核进程之间的 ...

  7. 24小时学通Linux内核之调度和内核同步

    心情大好,昨晚我们实验室老大和我们聊了好久,作为已经在实验室待了快两年的大三工科男来说,老师让我们不要成为那种技术狗,代码工,说多了都是泪啊,,不过我们的激情依旧不变,老师帮我们组好了队伍,着手参加明 ...

  8. Linux下多任务间通信和同步-mmap共享内存

    Linux下多任务间通信和同步-mmap共享内存 嵌入式开发交流群280352802,欢迎加入! 1.简介 共享内存可以说是最有用的进程间通信方式.两个不用的进程共享内存的意思是:同一块物理内存被映射 ...

  9. 8)Linux程序设计入门--线程操作

    )Linux程序设计入门--线程操作 前言:Linux下线程的创建 介绍在Linux下线程的创建和基本的使用. Linux下的线程是一个非常复杂的问题,由 于我对线程的学习不时很好,我在这里只是简单的 ...

随机推荐

  1. MFC框架仿真<一>

    #include "my.h" CMyWinApp theApp;/*起点->全局对象*/ void main() { CWinApp* pApp = AfxGetApp() ...

  2. 【翻译】JavaScript框架的最终指南

    翻译原文链接 我的翻译小站 紧跟JavaScript框架的脚步是一个挑战.现在有太多的框架,几乎一个月就会出来一个新的.那么如何知道到底哪一个比较合适你的项目呢?它们分别有什么优点和缺点呢?你要如何开 ...

  3. 解决:无法在发送 HTTP 标头之后进行重定向。 跟踪信息: 在 System.Web.HttpResponse.Redirect(String url, Boolean endResponse, Boolean permanent) 在 System.Web.Mvc.Async.AsyncControllerActionInvoker.<>……

    问题:在MVC的过滤器中验证用户状态时报如下错误:   无法在发送 HTTP 标头之后进行重定向. 跟踪信息:   在 System.Web.HttpResponse.Redirect(String  ...

  4. Perf -- Linux下的系统性能调优工具,第 1 部分

    Perf 简介 Perf 是用来进行软件性能分析的工具. 通过它,应用程序可以利用 PMU,tracepoint 和内核中的特殊计数器来进行性能统计.它不但可以分析指定应用程序的性能问题 (per t ...

  5. Android-SPUtil-工具类

    SPUtil-工具类 是专门对 Android共享首选项 SharedPreferences 的数据保存/数据获取,提供了公共的方法行为: package common.library.utils; ...

  6. 【Win10】文件拖放打开

    在 Windows 10 中,通用应用程序在桌面环境下是支持从资源管理器拖放文件打开的. 这篇博文将演示拖放图片或文本文件,并在程序中打开显示. 前台 XAML: <Page x:Class=& ...

  7. apache模块 合并多个js/css 提高网页加载速度

    win :  http://blog.csdn.net/mycwq/article/details/9361117 linux :http://blog.csdn.net/mycwq/article/ ...

  8. gdb用法

    mickole@test:~/ctest/05gdb$ gdb simple //开始gdb调试 GNU gdb (Ubuntu/Linaro 7.4-2012.04-0ubuntu2.1) 7.4- ...

  9. 截图-----Selenium快速入门(十二)

    在自动化测试过程中,截图是常见的操作,因为有时候单靠程序无法判断是否已得到期望的结果,所以需要截图判断.又或者截图是作为判断的存证.Selenium的截图操作也是非常简单,而且自带了一个文件操作类Fi ...

  10. SQL查询和替换含有回车,空格,TAB,等

    ---如下是查询语句 --查询名称有退格键 ),item_name) go --查询名称有制表符tab ),item_name) go --查询名称有换行 ),item_name) go --查询名称 ...