title: msp430點燈實驗 date: 2023-04-15 15:31:25 description: 基於msp430f5529點燈實驗 一、實驗內容 使用開發板:msp430f5529 使用的LED燈:為開發板上自帶的User LEDs(LED1、LED2) 環境:CCS (Versi ...
1. 說明 1> 本篇是實際工作中linux上碰到的一個問題,一個使用了CGroup的進程處於R狀態但不執行,也不退出,還不能kill,經過深入挖掘才發現是Cgroup的內核bug 2>發現該bug後,去年給RedHat提交過漏洞,但可惜並未通過,不知道為什麼,這裡就發我博客公開了 3> 前面的2個帖子《極簡cfs公平調度演算法》《極簡組調度-CGroup如何限制cpu》是為了瞭解本篇這個內核bug而寫的,需要linux內核進程調度和CGroup控制的基本原理才能夠比較清晰的瞭解這個內核bug的來龍去脈 4> 本文所用的內核調試工具是crash,大家可以到官網上去查看crash命令的使用,這裡就不多介紹了 https://crash-utility.github.io/help.html 2. 問題 2.1 觸發bug code(code較長,請展開代碼) 2.1.1 code
#include <iostream> #include <sys/types.h> #include <signal.h> #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <errno.h> #include <sys/stat.h> #include <pthread.h> #include <sys/time.h> #include <string> using namespace std; std::string sub_cgroup_dir("/sys/fs/cgroup/cpu/test"); // common lib bool is_dir(const std::string& path) { struct stat statbuf; if (stat(path.c_str(), &statbuf) == 0 ) { if (0 != S_ISDIR(statbuf.st_mode)) { return true; } } return false; } bool write_file(const std::string& file_path, int num) { FILE* fp = fopen(file_path.c_str(), "w"); if (fp = NULL) { return false; } std::string write_data = to_string(num); fputs(write_data.c_str(), fp); fclose(fp); return true; } // ms long get_ms_timestamp() { timeval tv; gettimeofday(&tv, NULL); return (tv.tv_sec * 1000 + tv.tv_usec / 1000); } // cgroup bool create_cgroup() { if (is_dir(sub_cgroup_dir) == false) { if (mkdir(sub_cgroup_dir.c_str(), S_IRWXU | S_IRGRP) != 0) { cout << "mkdir cgroup dir fail" << endl; return false; } } int pid = getpid(); cout << "pid is " << pid << endl; std::string procs_path = sub_cgroup_dir + "/cgroup.procs"; return write_file(procs_path, pid); } bool set_period(int period) { std::string period_path = sub_cgroup_dir + "/cpu.cfs_period_us"; return write_file(period_path, period); } bool set_quota(int quota) { std::string quota_path = sub_cgroup_dir + "/cpu.cfs_quota_us"; return write_file(quota_path, quota); } // thread // param: ms interval void* thread_func(void* param) { int i = 0; int interval = (long)param; long last = get_ms_timestamp(); while (true) { i++; if (i % 1000 != 0) { continue; } long current = get_ms_timestamp(); if ((current - last) >= interval) { usleep(1000); last = current; } } pthread_exit(NULL); } void test_thread() { const int k_thread_num = 10; pthread_t pthreads[k_thread_num]; for (int i = 0; i < k_thread_num; i++) { if (pthread_create(&pthreads[i], NULL, thread_func, (void*)(i + 1)) != 0) { cout << "create thread fail" << endl; } else { cout << "create thread success,tid is " << pthreads[i] << endl; } } } //argv[0] : period //argv[1] : quota int main(int argc,char* argv[]) { if (argc <3) { cout << "usage : ./inactive timer $period $quota" << endl; return -1; } int period = stoi(argv[1]); int quota = stoi(argv[2]); cout << "period is " << period << endl; cout << "quota is " << quota << endl; test_thread(); if (create_cgroup() == false) { cout << "create cgroup fail" << endl; return -1; } int i =0; while (true) { if (i > 20) { i = 0; } i++; long current = get_ms_timestamp(); long last = current; while ((current - last) < i) { usleep(1000); current = get_ms_timestamp(); } set_period(period); set_quota(quota); } return 0; }View Code
2.1.2 編譯
g++ -std=c++11 -lpthread trigger_cgroup_timer_inactive.cpp -o inactive_timer
2.1.3 在CentOS7.0~7.5的系統上執行程式
./inactive_timer 100000 10000
2.1.4 上述代碼主要幹了2件事 1> 將自己進程設置為CGroup控制cpu 2> 反覆設置CGroup的cpu.cfs_period_us和cpu.cfs_quota_us 3> 起10個線程消耗cpu 2.1.5《極簡組調度-CGroup如何限制cpu》已經講過CGroup限制cpu的原理: CGroup控制cpu是通過cfs_period_us指定的一個時間周期內,CGroup下的進程,能使用cfs_quota_us時間長度的cpu,如果在該周期內使用的cpu超過了cfs_quota_us設定的值,則將其throttled,即將其從公平調度運行隊列中移出,然後等待定時器觸發下個周期unthrottle後再移入,從而達到控制cpu的效果。 2.2 現象
1> 程式跑幾分鐘後,所有的線程一直處於running狀態,但實際線程都已經不再執行了,cpu使用率也一直是0
2> 查看線程的stack,task都在系統調用返回中
3> 用crash查看進程的主線程32764狀態確實為"running",但對應的0號cpu上的rq cfs運行隊列中並沒有任何運行task
4> 查看task對應的se沒有在rq上,cfs_rq顯示被throttled
《極簡組調度-CGroup如何限制cpu》中說過,throttle後經過一個period(程式設的是100ms),CGroup的定時器會再次分配quota,並unthrottle,將group se重新加入到rq中,這裡一直throttle不恢復,只能懷疑是不是定時器出問題了
5> 再查看task group對應的cfs_bandwidth的period timer,發現state為0,即HRTIMER_STATE_INACTIVE,表示未激活,問題就在這裡,正常情況下該timer是激活的,該定時器未激活會導致對應cpu上的group cfs_rq分配不到quota,quota用完後就會導致其對應的se被移出rq,此時task雖然處於Ready狀態,但由於不在rq上,仍然不會被調度的
3. 原因
3.1 linux的定時器是一次性,到期後需要再次激活才能繼續使用,搜索代碼可知period_timer是在__start_cfs_bandwidth()中實現調用start_bandwidth_timer()進行激活的
這裡有一個關鍵點,當cfs_b->timer_active不為0時,__start_cfs_bandwidth()就會不激活period_timer,和問題現象相符,那麼什麼時候cfs_b->timer_active會不為0呢?
3.2 當設置CGroup的quota或者period時,會最終進入到__start_cfs_bandwidth(),這裡就會將cfs_b->timer_active設為0,併進入__start_cfs_bandwidth()
tg_set_cfs_quota() tg_set_cfs_bandwidth() /* restart the period timer (if active) to handle new period expiry */ if (runtime_enabled && cfs_b->timer_active) { /* force a reprogram */ cfs_b->timer_active = 0; __start_cfs_bandwidth(cfs_b); }仔細觀察上述代碼,設想如下場景: 1> 線上程A設置CGroup的quota或者period時,將cfs_b->timer_active設為0,調用_start_cfs_bandwidth()後,在未執行到__start_cfs_bandwidth()代碼580行hrtimer_cancel()之前,cpu切換到B線程 2> 線程B也調用__start_cfs_bandwidth(),執行完後將cfs_b->timer_active設為1,並調用start_bandwidth_timer()激活timer,此時cpu切換到線程A 3> 線程A恢復並繼續執行,調用hrtimer_cancel()讓period_timer失效,然後執行到__start_cfs_bandwidth()代碼585行後,發現cfs_b->timer_active為1,直接return,而不再將period_timer激活
3.3 搜索__start_cfs_bandwidth()的調用,發現時鐘中斷中會調用update_curr()函數,其最終會調用assign_cfs_rq_runtime()檢查cgroup cpu配額使用情況,決定是否需要throttle,這裡在cfs_b->timer_active = 0時,也會調用__start_cfs_bandwidth(),即執行上面B線程的代碼,從而和設置CGroup的線程A發生線程競爭,導致timer失效。
1> 完整代碼執行流程圖
2> 當定時器失效後,由於3.2中線程B將cfs_b->timer_active = 1,所以即使下次時鐘中斷執行到assign_cfs_rq_runtime()中時,由於誤判timer是active的,也不會調用__start_cfs_bandwidth()再次激活timer,這樣被throttle的group se永遠不會被unthrottle投入rq調度了
3.4 總結
頻繁設置CGroup配置,會和時鐘中斷中檢查group quota的線程在__start_cfs_bandwidth()上發生線程競爭,導致period_timer被cancel後不再激活,然後CGroup控制的task不能分配cpu quota,導致不再被調度
3.5 恢復方法
知道了漏洞成因,我們也看到tg_set_cfs_quota()會調用__start_cfs_bandwidth() cancel掉timer,然後重新激活timer,這樣就能在timer回調中unthrottle了,所以只要手動設置下這個CGroup的cpu.cfs_period_us或cpu.cfs_quota_us,就能恢復運行。
4. 修複
3.10.0-693以上的版本並不會出現這個問題,通過和2.6.32版本(下圖右邊)的代碼對比,可知3.10.0-693版的代碼(下圖左邊)將hrtimer_cancel()該為hrtimer_try_to_cancel(),並將其和cfs_b->timer_active的判定都放在自旋鎖中保護,這樣就不會cfs_b->timer_active被置1後,仍然還會去cancel period_timer的問題了,但看這個bug fix的郵件組討論,是為了修另一個問題順便把這個問題也修了,痛失給linux提patch的機會- -
ref : https://gfiber.googlesource.com/kernel/bruno/+/09dc4ab03936df5c5aa711d27c81283c6d09f495
5. 漏洞利用
1> 在國內,仍有大量的公司在使用CentOS6和CentOS7.0~7.5,這些系統都存在這個漏洞,使用了CGroup限制cpu就有可能觸發這個bug導致業務中斷,且還不一定能重啟恢復
2> 一旦觸發這個bug,由於task本身已經是running狀態了,即使去kill,由於task得不到調度,是無法kill掉的,因此可以通過這種方法攻擊任意軟體程式(如殺毒軟體),讓其不能執行又不能重啟(很多程式為了保證不雙開,都會只保證只有一個進程存在),即使他們不用CGroup,也可以給他建一個對其進行攻擊
3> 該bug由於是linux內核bug,一旦觸發還不易排查和感知,因為看進程狀態都是running,直覺上認為進程仍然在正常執行的
本文為博主原創文章,如需轉載請說明轉至http://www.cnblogs.com/organic/
