Читаем Linux API. Исчерпывающее руководство полностью

Иногда возникает необходимость «запереть» часть виртуальной памяти процесса (или всю целиком), чтобы она гарантированно оставалась в рамках физического адресного пространства. Одной из причин этого может быть повышение производительности. Доступ к заблокированным участкам памяти никогда не будет задержан из-за сбоя в работе страницы. Это полезно в случаях, когда требуется обеспечить низкое время отзыва.

Еще одна причина для запирания памяти связана с безопасностью. Если страница виртуальной памяти, содержащая конфиденциальную информацию, не попадает в пространство подкачки, ее копия никогда не будет записана на диск. Сброс данных на диск теоретически чреват тем, что позже их могут оттуда прочитать (злоумышленник может намеренно спровоцировать такую ситуацию, запустив программу, которая потребляет большой объем памяти, и тем самым заставив сбросить пространство подкачки страницы других процессов). Чтение информации из этого пространства можно выполнить даже после завершения процесса, поскольку ядро не гарантирует обнуления данных, там хранящихся (обычно чтение из устройства подкачки разрешено только привилегированным процессам).

Режим сна в настольных и переносных компьютерах сохраняет копию физической памяти на диск вне зависимости от блокировки памяти.

В данном разделе мы познакомимся с системными вызовами, предназначенными для частичной или полной блокировки и разблокировки виртуальной памяти процесса. Но сначала рассмотрим ограничение на ресурсы, которое регулирует эти операции.

Ограничение на ресурсы RLIMIT_MEMLOCK

Ограничение RLIMIT_MEMLOCK, касающееся количества байтов, доступных процессу для запирания в памяти, было кратко рассмотрено в разделе 36.3. Теперь мы познакомимся с ним более подробно.

В ядрах Linux до версии 2.6.9 только привилегированные процессы (CAP_IPC_LOCK) могли блокировать память, а мягкое ограничение RLIMIT_MEMLOCK регулировало максимальное количество байтов, доступных для блокировки.

В Linux 2.6.9 модель блокировки памяти претерпела изменения. Теперь небольшие участки адресного пространства могут запираться и непривилегированными процессами. Это может пригодиться программам, которым нужно поместить в заблокированную память конфиденциальную информацию небольшого объема, чтобы исключить возможность ее записи на диск; например, утилита pgp использует такую возможность для фразовых паролей. Результаты данных изменений следующие:

• привилегированные процессы могут запирать любые объемы памяти, без ограничений (то есть флаг RLIMIT_MEMLOCK игнорируется);

• непривилегированные процессы теперь могут запирать память, объем которой ограничен мягким ограничением RLIMIT_MEMLOCK.

По умолчанию значения мягкого и жесткого ограничений RLIMIT_MEMLOCK равны восьми страницам (на платформе x86-32, например, это 32 768 байт).

Ограничение RLIMIT_MEMLOCK затрагивает:

• вызовы mlock() и mlockall();

• вызов mmap() с флагом MAP_LOCKED, который используется для запирания отображения при его создании (см. раздел 45.6);

• вызов shmctl() с флагом SHM_LOCK, применяемым для блокирования сегментов разделяемой памяти в System V.

Блокировка применяется постранично, поскольку единицей управления виртуальной памятью является страница. Когда проверяется ограничение, значение RLIMIT_MEMLOCK округляется до наименьшего кратного размеру страницы памяти в системе.

Ограничение RLIMIT_MEMLOCK имеет всего лишь одно (мягкое) значение, но, по сути, он определяет сразу два отдельных ограничения.

• В случае с операциями mlock(), mlockall() и вызовом mmap() с флагом MAP_LOCKED данное ограничение определяет максимальное количество байтов виртуального адресного пространства, которое может заблокировать каждый отдельный процесс.

• Для вызова shmctl() с флагом SHM_LOCK ограничение RLIMIT_MEMLOCK определяет максимальное количество байтов разделяемого сегмента адресного пространства, которые можно заблокировать с помощью реального пользовательского идентификатора для текущего процесса. Когда процесс выполняет операцию shmctl() SHM_LOCK, ядро проверяет общий объем байтов разделяемой памяти типа System V, уже заблокированный с применением реального UID вызывающего процесса. Если размер сегмента, который нужно заблокировать, не выходит за пределы ограничения RLIMIT_MEMLOCK для текущего процесса, операция завершается успешно.

В случае с разделяемой памятью типа System V ограничение RLIMIT_MEMLOCK имеет иную семантику, поскольку память в таком сегменте может продолжать существовать даже без привязки к какому-либо процессу (чтобы ее очистить, нужно вручную вызвать shmctl() с флагом IPC_RMID и дождаться, когда все процессы отсоединят от нее свое адресное пространство).

Блокировка и разблокировка участков памяти

Для выполнения этих операций процесс может использовать вызовы mlock() и munlock().

#include

int mlock(void *addr, size_t length);

int munlock(void *addr, size_t length);

Возвращают 0 при успешном завершении или -1 при ошибке