개요

Kernel address sanitizer (KASAN)은 out-of-bound 버그와 user-after-free 버그를 체크하기 위한 dynamic safety error checking 매커니즘이다. KASAN은 세가지 모드로 구성된다.

소프트웨어 방식
소프트웨어 방식 KASAN은 컴팡일러의 도움을 통해서 모든 memory access validation test코드를 삽입하는 방식으로 작동한다.
  • Generic KASAN: 디버깅을 위해서 사용되며, 다양한 CPU모드에서 사용할 수 있지만 추가적인 CPU와 Memory overhead가 발생한다.
  • Software Tag-Based KASAN: debugging과 dogfood testing에서 사용될 수 있는 방식으로 arm64에서만 사용할 수 있으며 memory를 적게 먹어서 memory사용에 제약이 있는 장치에서도 KASAN을 사용할 수 있게 한다.
하드웨어 방식
하드웨어 방식 KASAN은 소프트웨어 방식과 동일하게 모든 memory access validation코드를 매 memory access마다 trigger하지만 이러한 체크가 하드웨어의 도움을 통해서 이루어진다는 차이점이 있다.
  • Hardware Tag-Based KASAN: arm64 CPU에서만 사용할 수 있으며, Memory Tagging Extension을 허용하는 하드웨어에서만 사용할 수 있다. 이 모드는 CPU와 Memory overhead가 적기 때문에 production상황에서도 사용할 수 있다.

이때 Tag-based 방식은 ARM64에서만 사용가능하다.

Implementation

Software KASAN
소프트웨어 방식은 Shadow메모리를 통해서 각 메모리의 bytes들이 접근하면 안전한지에 대한 메타데이터를 Compiler타임에 삽입하는 방식으로 이루어진다. Generic KASAN과 같은 경우에는 통산 1/8th 가상 커널메모리(Virtual address)를 Shadow memory를 위해서 할당하며 (16TB to cover 128TB on x86_64), 이를 통해서 memory의 size, offset등을 추적한다. 즉 커널이 사용할 전체 가용메모리의 1/8이 각 8바이트에 대한 메타데이터를 1바이트 할당하여 저장하고 있다.
// 이 코드는 kernel VA를 shadow page의 주소로 변환한다.
static inline void *kasan_mem_to_shadow(const void *addr)
{
    // KASAN_SHADOW_SCALE_SHIFT 는 3이다.
    // KASAN_SAHDOW_OFFSET은 Shadow page의 시작 주소이다.
    return (void *)((unsigned long)addr >> KASAN_SHADOW_SCALE_SHIFT)
            + KASAN_SHADOW_OFFSET;
}

소프트웨어 방식 KASAN은 체크 코드를 function call혹은 inline으로 박아넣을 수 있는데, 함수 방식 대비 inline방식이 1.2배 정도 빠르지만 훨씬 큰 커널이 생성된다.

Software Tag-Based KASAN
ARM64 CPU에서 커널 포인터의 top bytes들을 무시할 수 있는 Top Byte Ignore이라는 옵션이 있는데, 이를 통해서 커널의 pointer에 메타데이터를 저장하는 방식으로 구현된다. 저장된 포인터의 tag는 shadow page (1/16th kernel memory) 부분에 자장된다.
Hardware Tag-Based KASAN
Software Tag-Based모드와 동작원리는 같지만 Memory tagging이 Hardware 명령어를 통해서 이루어진다는 차이점이 있다. 이를 위해서 ARM의 Memory Tagging Extension (MTE)기능을 활성화 시켜서 사용해야 한다.

참고

  1. https://www.kernel.org/doc/html/latest/dev-tools/kasan.html
  2. https://hyeyoo.com/165