Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Aktuell<br />
www.linux-magazin.de Kernel-News 09/2013<br />
18<br />
Zacks Kernel-News<br />
<strong>Linux</strong> zwischen Security und Performance<br />
Linus Torvalds hat ein Patch an<br />
Al Viro geschickt, um bessere<br />
Performance aus dem Virtual<br />
Filesystem (VFS) des Kernels<br />
herauszuholen. Insbesondere<br />
geht es ihm darum, einige<br />
Sicherheitsprüfungen von SE<br />
<strong>Linux</strong> zu beschleunigen, indem<br />
er die benötigten Daten<br />
aus dem Sicherheitssystem in<br />
die Inode-Datenstruktur verlagert.<br />
Beim Nachschlagen von<br />
Dateipfaden könnte der Code<br />
so eine Pointer-Dereferenzierung<br />
einsparen.<br />
Das rief Casey Schaufler auf<br />
den Plan, der Smack [http://<br />
schaufler‐ca.com], ein Kernelmodul<br />
für Mandatory Access<br />
Control (MAC), betreut. Er<br />
schreibt, in seiner Arbeit sei er<br />
gerade dabei, jene Dereferenzierung<br />
wieder einzuführen,<br />
die Linus einsparen möchte.<br />
Daneben erklärt er, ihm sei<br />
gar nicht bekannt gewesen,<br />
dass man die Daten in die Inode<br />
verlagern dürfe.<br />
Außerdem würde der Smack-<br />
Maintainer lieber Performance-Verbesserungen<br />
am<br />
generischen <strong>Linux</strong> Security<br />
Module (LSM) sehen als an<br />
einer bestimmten Lösung<br />
wie SE <strong>Linux</strong>. Das existiere<br />
schließlich, damit Linus „die<br />
ganzen furchtbaren Sachen<br />
nicht sehen muss, die wir<br />
Security-Leute anstellen“,<br />
schreibt er. Torvalds hält dagegen,<br />
SE <strong>Linux</strong> sei die einzige<br />
Security-Lösung, die annehmbare<br />
Performance biete.<br />
Daneben schimpft er: „Das<br />
letzte Mal, als ich Ubuntu<br />
probiert habe (die benützen<br />
noch App Armor, oder?) hat<br />
das »make modules_install ;<br />
make install« für den Kernel<br />
nicht funktioniert. Wenn die<br />
Ubuntu-Leute sich nicht um<br />
Sicherheit muss nicht kompliziert sein, schreibt das Smack-Projekt. Linus<br />
Torvalds dagegen hält Sicherheitssysteme für eine Performance-Bremse.<br />
Kernelentwickler scheren,<br />
werde ich mich auch nicht<br />
mit ihnen abgeben.“ Später<br />
steigerte sich Linus noch zu<br />
einer Tirade gegen die Security-Community:<br />
„Es wäre<br />
gut, wenn die Security-Leute<br />
endlich kapieren, dass Performance<br />
wichtig ist. Es nervt<br />
einfach, durch Sicherheitsfeatures<br />
50 Prozent Performance<br />
einzubüßen, wenn man einen<br />
Dateipfad nachschlägt.“<br />
Casey wandte ein, dass sich<br />
die Security-Community sehr<br />
wohl der Performance-Frage<br />
bewusst sei. „Wir werden<br />
mit Performance-Bedenken<br />
bombardiert“, schreibt er,<br />
„manchmal ist die Kritik ausgesprochen<br />
feindselig.“ Daraufhin<br />
zog sich Linus auf die<br />
technischen Aspekte der Diskussion<br />
zurück.<br />
Er schlägt vor, mehr Code<br />
aus den Sicherheitssystemen<br />
in das VFS zu migrieren. So<br />
ließen sich die meisten Fälle<br />
optimiert behandeln, nur<br />
bei Ausnahmen müsste das<br />
Dateisystem bei den Security-<br />
Komponenten nachfragen.<br />
Die meisten Fälle lassen sich<br />
laut Torvalds durch ein einziges<br />
Bit entscheiden, das signalisiert:<br />
„Diese Inode besitzt<br />
keine besonderen Zugriffsrechte<br />
außer den normalen<br />
Unix-Permissions.“ n<br />
Abgetaucht: Tarball-Releases und Patches<br />
Als Linus Torvalds im Juni<br />
Kernel 3.10-rc4 aus seinem<br />
Urlaub veröffentlichte, lieferte<br />
er keine Quelltext-Tarballs.<br />
Er hatte vergessen, vor der<br />
Abreise in das Taucherparadies<br />
Palau das Tool »kup«, die<br />
benötigten Perl-Module sowie<br />
seine Release-Skripte auf dem<br />
Laptop zu installieren.<br />
Auf der Pazifik-Insel reichte<br />
die Internetanbindung offenbar<br />
für Mail, war aber nicht<br />
stabil genug, um Softwarepakete<br />
herunterzuladen. Auch<br />
sein Git-Repository konnte<br />
Linus updaten, doch ansonsten<br />
musste er sich entschuldigen.<br />
Er schrieb: „Ich glaube,<br />
es benutzt ohnehin niemand<br />
mehr Tarballs und Patches,<br />
weil Git so bequem und effizient<br />
ist.“ Zu den wenigen,<br />
die sich darauf zu Wort meldeten,<br />
gehörte der langjährige<br />
Kernelentwickler Rand<br />
Dunlap. Er arbeitet noch mit<br />
Tarballs und Patches. Torvalds<br />
beruhigte ihn: „Ich werde die<br />
Tarballs und Patches nicht<br />
einstellen, solange sie noch<br />
Abnehmer finden.“ n