Вболее ранней публикации компания Google объявила, что в Android теперь поддерживается язык программирования Rust, применяемый в разработке этой ОС как таковой. В связи с этим авторы данной публикации также решили оценить, насколько язык Rust востребован в разработке ядра Linux. В этом посте на нескольких простых примерах рассмотрены технические аспекты этой работы.
На протяжении почти полувека C оставался основным языком для разработки ядер, так как C обеспечивает такую степень управляемости и такую предсказуемую производительность, какие и требуются в столь критичном компоненте. Плотность багов, связанных с безопасностью памяти, в ядре Linux обычно весьма низка, поскольку код очень качественный, ревью кода соответствует строгим стандартам, а также в нем тщательно реализуются предохранительные механизмы. Тем не менее,баги, связанные с безопасностью памяти, все равно регулярно возникают. В Android уязвимости ядра обычно считаются серьезным изъяном, так как иногда позволяют обходить модель безопасности в силу того, что ядро работает в привилегированном режиме.
Предполагается, что Rust уже дозрел до того, чтобы составить компанию C в качестве языка для практической реализации ядра. Rust помогает сократить количество потенциальных багов и уязвимостей безопасности в привилегированном коде, при этом он хорошо сочетается с основой ядра и позволяет поддерживать хорошие показатели производительности.
Поддержка Rust
Был разработанпервичный прототипдрайвера Binder, позволяющий адекватно сравнивать характеристики безопасности и производительности имеющейся версии на C и ее аналога на Rust. В ядре Linux более 30 миллионов строк кода, поэтому мы не ставим перед собой цель переписать весь его на Rust, а обеспечить возможность дописывать нужный код на Rust. Мы полагаем, что такой инкрементный подход помогает эффективно использовать имеющуюся в ядре высокопроизводительную реализацию, в то же время предоставляют разработчикам ядра новые инструменты для повышения безопасности памяти и поддержания производительности на уровне в ходе работы.
Мы присоединились к организацииRust для Linux, где сообщество уже много сделало и продолжает делать для добавления поддержки Rust в систему сборки ядра Linux. Также нам нужно проектировать системы таким образом, чтобы фрагменты кода, написанные на двух языках, могли взаимодействовать друг с другом: нас особенно интересуют безопасные абстракции без издержек, которые позволяют коду Rust использовать функционал ядра, написанный на C, а также возможность реализовывать функционал на идиоматическом Rust, который можно гладко вызывать из тех частей ядра, что написаны на C.
Поскольку Rust новый язык в ядре, у нас также есть возможность обязывать разработчиков придерживаться наилучших практик в области составления документации и соблюдения единообразия. Например, у нас есть конкретные машинно-проверяемые требования, касающиеся использования небезопасного кода: для каждой небезопасной функции разработчик должен документировать те требования, которым должна удовлетворять вызывающая сторона таким образом, гарантируется безопасность использования. Кроме того, при каждом вызове небезопасных функций разработчик обязан документировать те требования, которые должны удовлетворяться вызывающей стороной в качестве гарантии того, что использование будет безопасным. Кроме того, для каждого вызова к небезопасным функциям (или использования небезопасных конструкций, например, при разыменовании сырого указателя) разработчик должен документировать обоснование, почему делать так безопасно.
Rust славится не только своей безопасностью, но и тем, насколько он полезен и удобен для разработчиков. Далее рассмотрим несколько примеров, демонстрирующих, в чем Rust может пригодиться разработчикам ядра при написании безопасных и корректных драйверов.
Пример драйвера
Рассмотрим реализацию семафорного символьного устройства. У каждого устройства есть актуальное значение; при записи nбайт значение устройства увеличивается на n; при каждом считывании это значение понижается на 1, пока значение не достигнет 0, в случае чего это устройство блокируется, пока такая операция декремента не сможет быть выполнена на нем без ухода ниже 0.
Допустим,
semaphore
это файл, представляющий наше
устройство. Мы можем взаимодействовать с ним из оболочки следующим
образом:
> cat semaphore
Когда
semaphore
это устройство, которое только что
инициализировано, команда, показанная выше, блокируется, поскольку
текущее значение устройства равно 0. Оно будет разблокировано, если
мы запустим следующую команду из другой оболочки, так как она
увеличит значение на 1, тем самым позволив исходной операции
считывания завершиться:
> echo -n a > semaphore
Мы также сможем увеличить счетчик более чем на 1, если запишем больше данных, например:
> echo -n abc > semaphore
увеличивает счетчик на 3, поэтому следующие 3 считывания не приведут к блокированию.
Чтобы продемонстрировать еще некоторые аспекты Rust, добавим к нашему драйверу следующие возможности: запомним, каково было максимальное значение, достигнутое в течение всего жизненного цикла, а также запомним, сколько операций считывания выполнил на устройстве каждый из файлов.
Теперь покажем, как такой драйвер был быреализован на Rust, сравнив этот вариант с реализацией на C. Правда, отметим, что разработка этой темы в Google только начинается, и в будущем все может измениться. Мы хотели бы подчеркнуть, как Rust может пригодиться разработчику в каждом из аспектов. Например, во время компиляции он позволяет нам устранить или сильно снизить вероятность того, что в код вкрадутся целые классы багов, притом, что код останется гиьким и будет работать с минимальными издержками.
Символьные устройства
Разработчику необходимо сделать следующее, чтобы реализовать на Rust драйвер для нового символьного устройства:
- Реализовать типаж
FileOperations
: все связанные с ним функции опциональны, поэтому разработчику требуется реализовать лишь те, что релевантны для данного сценария. Они соотносятся с полями в структуре Cstruct file_operations
. - Реализовать типаж
FileOpener
это типобезопасный эквивалент применяемого в C поляopen
из структурыstruct file_operations
. - Зарегистрировать для ядра новый тип устройства: так ядру будет рассказано, какие функции нужно будет вызывать в ответ на операции над файлами нового типа.
Далее показано сравнение двух первых этапов нашего первого примера на Rust и C:
Символьные устройства в Rust отличаются целым рядом достоинств по части безопасности:
- Пофайловое управление состоянием жизненного
цикла:
FileOpener::open
возвращает объект, чьим временем жизни с того момента владеет вызывающая сторона. Может быть возвращен любой объект, реализующий типажPointerWrapper
, и мы предоставляем реализации дляBox
иArc
, так что разработчики, реализующие идиоматические указатели Rust, выделяемые из кучи или предоставляемые путем подсчета ссылок, обеспечены всем необходимым.
Все ассоциированные функции вFileOperations
получают неизменяемые ссылки наself
(подробнее об этом ниже), кроме функцииrelease
, которая вызывается последней и получает в ответ обычный объект (а впридачу и владение им). Тогда реализацияrelease
может отложить деструкцию объекта, передав владение им куда-нибудь еще, либо сразу разрушить его. При работе с объектом с применением подсчета ссылок деструкция означает декремент количества ссылок (фактическое разрушение объекта происходит, когда количество ссылок падает до нуля).
То есть, здесь мы опираемся на принятую в Rust систему владения, взаимодействуя с кодом на C. Мы обрабатываем написанную на C часть кода, которым владеет объект Rust, разрешая ему вызывать функции, реализованные на Rust, а затем, в конце концов, возвращаем владение обратно. Таким образом, коль скоро код на C, время жизни файловых объектов Rust также обрабатывается гладко, и компилятор обязывает поддерживать правильное управление временем жизни объекта на стороне Rust. Например, open не может возвращать в стек указатели, выделенные в стеке, или объекты, выделенные в куче,ioctl
/read
/write
не может высвобождать (или изменять без синхронизации) содержимое объекта, сохраненное вfilp->private_data
, т.д.
Неизменяемые ссылки: все ассоциированные функции, вызываемые междуopen
иrelease
получают неизменяемые ссылки наself
, так как они могут конкурентно вызываться сразу множеством потоков, а действующие в Rust правила псевдонимов не допускают, чтобы в любой момент времени на объект указывало более одной изменяемой ссылки.
Если разработчику требуется изменить некоторое состояние (а это в порядке вещей), то это можно сделать при помощивнутренней изменяемости : изменяемое состояние можно обернуть вMutex
илиSpinLock
(илиatomics) и безопасно через них изменить.
Во время компиляции это препятствует возникновению багов, при которых разработчику не удается приобрести нужную блокировку при доступе к полю (поле недоступно), или когда разработчику не удается обернуть поле в блокировку (поле предназначено только для чтения).
Состояние для каждого устройства отдельно: когда экземпляры файлов должны совместно использовать состояние конкретного устройства, что при работе с драйверами бывает очень часто, в Rust это можно делать полностью безопасно. Когда устройство зарегистрировано, может быть предоставлен типизированный объект, для которого затем выдается неизменяемая ссылка, когда вызываетсяFileOperation::open
. В нашем примере разделяемый объект обертывается вArc, поэтому объекты могут безопасно клонировать и удерживать ссылки на такие объекты.
выделен в собственный типаж (в отличие, например, от
Причина, по которойFileOperationopen
, входящего в состав типажаFileOperations
) так можно разрешить выполнять регистрацию конкретной реализации файла разными способами.
Таким образом исключается, что разработчик может получить неверные данные, попытавшись извлечь разделяемое состояние. Например, когда в C зарегистрированоmiscdevice
, указатель на него доступен вfilp->private_data
; когда зарегистрированоcdev
, указатель на него доступен вinode->i_cdev
. Обычно эти структуры встраиваются в объемлющую структуру, которая содержит разделяемое состояние, поэтому разработчики обычно прибегают к макросуcontainer_of
, чтобы восстановить разделяемое состояние. Rust инкапсулирует все это и потенциально проблемные приведения указателей в безопасную абстракцию.
Статическая типизация: мы пользуемся тем, что в Rust поддерживаются дженерики, поэтому реализуем все вышеупомянутые функции и типы в виде статических типов. Поэтому у разработчика просто нет возможности преобразовать нетипизированную переменную или поле в неправильный тип. В коде на C в вышеприведенной таблице есть приведения от, в сущности, нетипизированного указателя (void
*) к желаемому типу в начале каждой функции: вероятно, в свеженаписанном виде это работает нормально, но также может приводить к багам по мере развития кода и изменения допущений. Rust отловит все такие ошибки еще во время компиляции.
Операции над файлами: как упоминалось выше, разработчику требуется реализовать типажFileOperations
, чтобы настраивать поведение устройства на свое усмотрение. Это делается при помощи блока, начинающегося сimpl FileOperations for Device
, гдеDevice
это тип, реализующий поведение файла (в нашем случае этоFileState
). Оказавшись внутри блока, инструменты уловят, что здесь может быть определено лишь ограниченное количество функций, поэтому смогут автоматически вставить прототипы. (лично я используюneovim
и LSP-серверrust-analyzer
.)
При использовании этого типажа в Rust, та часть ядра, что написана на C, все равно требует экземплярstruct file_operations
. Контейнер ядра автоматически генерирует такой экземпляр из реализации типажа (а опционально также макросdeclare_file_operations
): хотя, в нем и есть код, чтобы сгенерировать корректную структуру, здесь все равно всеconst
, поэтому интерпретируется во время компиляции, и во время выполнения не дает никаких издержек.
Обработка Ioctl
Чтобы драйвер предоставлял собственный обработчикioctl, он должен реализовывать функциюioctl
, входящую в состав типажаFileOperations
, как показано в следующей таблице.
Команды Ioctl стандартизированы таким образом, что, имея команду, мы знаем, предоставляется ли под нее пользовательский буфер, как ее предполагается использовать (чтение, запись, и то, и другое, ничего из этого) и ее размер. В Rust предоставляется диспетчер(для доступа к которому требуется вызватьcmd.dispatch
), который на основе этой информации автоматически создает помощников для доступа к памяти и передает их вызывающей стороне.
Но от драйвера нетребуетсяэтим пользоваться. Если, например, он не использует стандартную кодировку ioctl, то Rust подходит к этому гибко: просто вызываетcmd.raw
для извлечения сырых аргументов и использует их для обработки ioctl (потенциально с небезопасным кодом, что требуется обосновать).
Но, если в реализации драйвера действительно используется стандартный диспетчер, то ситуация значительно улучшается, поскольку ему вообще не придется реализовывать какой-либо небезопасный код, и:
- Указатель на пользовательскую память никогда не является нативным, поэтому пользователь не может случайно разыменовать его.
- Типы, позволяющие драйверу считывать из пользовательского пространства, допускают лишь однократное считывание, поэтому мы не рискуем получить баги TOCTOU (время проверки до времени использования). Ведь когда драйверу требуется обратиться к данным дважды, он должен скопировать их в память ядра, где злоумышленник не в силах ее изменить. Если исключить небезопасные блоки, то допустить баги такого класса в Rust попросту невозможно.
- Не будет случайного переполнения пользовательского буфера:
считывание или запись ни в коем случае не выйдут за пределы
пользовательского буфера, которые задаются автоматически на основе
размера, записанного в команде ioctl. В вышеприведенном примере
реализация
IOCTL_GET_READ_COUNT
обладает доступом лишь к экземпляруUserSlicePtrWriter
, что ограничивает количество доступных для записи байт величинойsizeof(u64)
, как закодировано в команде ioctl. - Не смешиваются операции считывания и записи: в ioctl мы никогда
не записываем буферы, предназначенные для считывания, и наоборот.
Это контролируется га уровне обработчиков чтения и записи, которые
получают только экземпляры
UserSlicePtrWriter
иUserSlicePtrReader
соответственно.
Все вышеперечисленное потенциально также можно сделать и в C, но разработчику ничего не стоит (скорее всего, ненамеренно) нарушить контракт и спровоцировать небезопасность; для таких случаев Rust требует блокиunsafe
, которые следует использовать лишь изредка и проверяться особенно пристально. А вот что еще предлагает Rust:
- Типы, применяемые для чтения и записи пользовательской памяти,
не реализуют типажи
Send
иSync
, и поэтому они (и указатели на них) небезопасны при использовании в другом контексте. В Rust, если бы разработчик попытался написать код, который передавал бы один из этих объектов в другой поток (где использовать их было бы небезопасно, поскольку контекст менеджера памяти там мог быть неподходящим), то получил бы ошибку компиляции. - Вызывая
IoctlCommand::dispatch
, логично предположить, что нам потребуется динамическая диспетчеризация, чтобы добраться до фактической реализации обработчика (и это повлечет дополнительные издержки, которых не было бы в C), но это не так. Благодаря использованию дженериков, компилятор сделает функцию мономорфной, что обеспечит нам статические вызовы функции. Функцию можно будет даже оформить внутристрочно, если оптимизатор сочтет это целесообразным.
Блокировка и условные переменные
Разработчикам разрешено использовать мьютексы и спинлоки для обеспечения внутренней изменяемости. В нашем примере мьютекс используется для защиты изменяемых данных; в приведенной ниже таблице показаны структуры данных, используемые в C и Rust соответственно, а также показано, как реализовать ожидание и дождаться, пока счет станет ненулевым, и мы сможем выполнить требуемое считывание:
Отметим, что такие операции ожидание вполне обычны в существующем коде на C, например, когдаканал ожидаетпартнера для записи,сокет домена unix ожидаетданные, апоиск индексного дескриптора ожидает завершения удаления, либо помощник пользовательского режима ожидаетизменения состояния.
А вот какими достоинствами обладает соответствующая реализация на Rust:
- Поле
Semaphore::inner
доступно только во время удержания блокировки, при помощи ограничителя, возвращаемого функциейlock
. Поэтому разработчики не могут случайно прочитать или записать защищенные данные, предварительно их не заблокировав. В примере на C, приведенном выше,count
иmax_seen
вsemaphore_state
защищены мьютексом, но программа не обязывает держать блокировку во время доступа к ним. there is no enforcement that the lock is held while they're accessed. - Получение ресурса есть инициализация (RAII): блокировка
снимается автоматически, когда ограничитель (
inner
в данном случае) выходит из области видимости. Таким образом, все блокировки всегда снимаются: если разработчику нужно, чтобы блокировка оставалась на месте, он может продлевать существование ограничителя, например, возвращая его; верно и обратное: если необходимо снять блокировку ранее, чем ограничитель выйдет из области видимости, это можно сделать явно, вызвав функциюdrop
. - Разработчики могут использовать любую блокировку, использующую
типаж
Lock
, в состав которого, кстати, входятMutex
иSpinLock
, и, в отличие от реализации на C, это не повлечет никаких дополнительных издержек во время выполнения. Другие конструкции для синхронизации, в том числе, условные переменные, также работают прозрачно и без дополнительных издержек времени выполнения. - Rust реализует условные переменные при помощи очередей
ожидания, предусмотренных в ядре. Благодаря этому разработчики
могут пользоваться атомарным снятием блокировки и погружать поток в
сон, не задумываясь о том, как это отразится на низкоуровневом
планировщике функций ядра. В вышеприведенном примере на C
в
semaphore_consume
видим смесь семафорной логики и тонкого планирования в стиле Linux: например, код получится неправильным, еслиmutex_unlock
будет вызван доprepare_to_wait
, поскольку таким образом можно забыть об операции пробуждения. - Никакого несинхронизированного доступа: как упоминалось выше,
переменные, совместно используемые несколькими потоками или
процессорами, должны предоставляться только для чтения, и
внутренняя изменяемость пригодится для тех случаев, когда
изменяемость действительно нужна. Кроме вышеприведенного примера с
блокировками, есть еще пример с ioctl из предыдущего раздела, где
также демонстрируется, как использовать атомарную переменную. В
Rust от разработчиков также требуется указывать, как память должна
синхронизироватьсяпри атомарных обращениях. В той части
примера, что написана на C, нам довелось использовать
atomic64_t
, но компилятор не предупредит разработчика о том, что это нужно сделать.
Обработка ошибок и поток выполнения
В следующих примерах показано, как в нашем драйвере реализованы операцииopen
,read
иwrite
:
Здесь видны и еще некоторые достоинства Rust:
- Оператор
?
operator: используется реализациямиopen
иread
в Rust для неявного выполнения обработки ошибок; разработчик может сосредоточиться на семафорной логике, и код, который у него получится, будет весьма компактным и удобочитаемым. В версиях на C необходимая обработка ошибок немного замусоривает код, из-за чего читать его сложнее. - Обязательная инициализация: Rust требует, чтобы все поля
структуры были инициализированы при ее создании, чтобы разработчик
не мог где-нибудь нечаянно забыть об инициализации поля. В C такая
возможность не предоставляется. В нашем примере с
open
, показанном выше, разработчик версии на C мог легко забыть вызватьkref_get
(пусть даже все поля и были инициализированы); в Rust же пользователь обязан вызватьclone
(повышающую счет ссылок на единицу), в противном случае он получит ошибку компиляции. - Область видимости при RAII: при реализации записи в Rust
используется блок выражений, контролирующий, когда
inner
выходит из области видимости и, следовательно, когда снимается блокировка. - Поведение при целочисленном переполнении: Rust стимулирует
разработчиков всегда продумывать, как должны обрабатываться
переполнения. В нашем примере с
write
, мы хотим обеспечить насыщение, чтобы не пришлось плюсовать к нашему семафору нулевое значение. В C приходится вручную проверять, нет ли переполнений, компилятор не оказывает дополнительной поддержки при такой операции.
Облачные серверы от Маклауд быстрые и безопасные.
Зарегистрируйтесь по ссылке выше или кликнув на баннер и получите 10% скидку на первый месяц аренды сервера любой конфигурации!