dune safe user level access to privileged cpu features
play

Dune: Safe User-level Access to Privileged CPU Features - PowerPoint PPT Presentation

Sep 03, 2023 •7 likes •387 views

Dune: Safe User-level Access to Privileged CPU Features Adam Belay, Andrea Bi>au, Ali MashAzadeh, David Terei, David Mazires, and Christos Kozyrakis

  1. Dune: ¡Safe ¡User-­‑level ¡Access ¡to ¡ Privileged ¡CPU ¡Features ¡ Adam ¡Belay, ¡Andrea ¡Bi>au, ¡Ali ¡MashAzadeh, ¡David ¡Terei, ¡ David ¡Mazières, ¡and ¡Christos ¡Kozyrakis ¡ Stanford ¡University ¡

  2. The ¡power ¡of ¡privilege ¡ • Privileged ¡CPU ¡features ¡are ¡fundamental ¡to ¡ kernels ¡ • But ¡other, ¡compelling ¡uses: ¡ – Speed ¡up ¡garbage ¡collecAon ¡(Azul ¡C4) ¡ • Page ¡tables ¡provide ¡memory ¡access ¡informaAon ¡ – Privilege ¡separaAon ¡within ¡a ¡process ¡(Palladium) ¡ • MMU ¡hardware ¡isolates ¡compartments ¡ – Safe ¡naAve ¡code ¡in ¡web ¡browsers ¡(Xax) ¡ • System ¡call ¡handler ¡intercepts ¡system ¡calls ¡ 2 ¡

  3. Should ¡we ¡change ¡the ¡kernel? ¡ App ¡ Kernel ¡ Patch ¡ PTEs ¡ PGTBL ¡ CPU ¡ Root ¡ • Problem: ¡stability ¡concerns, ¡challenging ¡to ¡ distribute, ¡composability ¡concerns ¡ 3 ¡

  4. What ¡about ¡an ¡Exokernel? ¡ App ¡ Garbage ¡CollecAon ¡Library ¡OS ¡ Exokernel ¡ CPU ¡ • Problem: ¡must ¡replace ¡enAre ¡OS ¡stack ¡ 4 ¡

  5. What ¡about ¡a ¡virtual ¡machine? ¡ JVM ¡ Browser ¡ GC ¡Kernel ¡ Linux ¡ Hypervisor ¡ CPU ¡ • Problem: ¡virtual ¡machines ¡have ¡strict ¡parAAoning ¡ 5 ¡

  6. Dune ¡in ¡a ¡Nutshell ¡ Kernel ¡ App ¡ POSIX ¡ Host ¡Mode ¡ Guest ¡Mode ¡ CPU ¡ • Provide ¡safe ¡user-­‑level ¡access ¡to ¡privileged ¡CPU ¡features ¡ • SAll ¡a ¡normal ¡process ¡in ¡all ¡ways ¡(POSIX ¡API, ¡etc) ¡ • Key ¡idea: ¡leverage ¡exisAng ¡virtualizaAon ¡hardware ¡(VT-­‑x) ¡ 6 ¡

  7. Garbage ¡collecAon ¡in ¡Dune ¡ Kernel ¡ App ¡ PTEs ¡ PTEs ¡ Host ¡Mode ¡ Guest ¡Mode ¡ CPU ¡ Host ¡Page ¡ Guest ¡Page ¡ Table ¡ Table ¡ • SoluAon: ¡control ¡the ¡page ¡table ¡directly ¡within ¡ a ¡process ¡ 7 ¡

  8. Outline ¡ • Overview ¡ • Design ¡ • EvaluaAon ¡ 8 ¡

  9. Available ¡CPU ¡features ¡ • Privilege ¡Modes ¡ – SYSRET, ¡SYSEXIT, ¡IRET ¡ • Virtual ¡Memory ¡ – MOV ¡CRn, ¡INVLPG, ¡INVPCID ¡ • ExcepAons ¡ – LIDT, ¡LTR, ¡IRET, ¡STI, ¡CLI ¡ • SegmentaAon ¡ – LGDT, ¡LLDT ¡ 9 ¡

  10. Dune ¡architecture ¡ Kernel ¡ Process ¡ ¡ ¡ Dune ¡Module ¡ libDune ¡ ¡ ¡ Host ¡Mode ¡ Guest ¡Mode ¡ CPU ¡ • Host ¡mode ¡-­‑> ¡VMX ¡root ¡mode ¡on ¡Intel ¡ • Normally ¡used ¡for ¡hypervisors ¡ • In ¡Dune, ¡we ¡run ¡the ¡kernel ¡here ¡ – Reason: ¡need ¡access ¡to ¡VT-­‑x ¡instrucAons ¡

  11. Dune ¡architecture ¡ Kernel ¡ Process ¡ ¡ ¡ Dune ¡Module ¡ libDune ¡ ¡ ¡ Host ¡Mode ¡ Guest ¡Mode ¡ CPU ¡ • Guest ¡mode ¡-­‑> ¡VMX ¡non-­‑root ¡mode ¡on ¡Intel ¡ • Normally ¡used ¡by ¡the ¡guest ¡kernel ¡ • In ¡Dune, ¡we ¡run ¡ordinary ¡processes ¡here ¡ – Reason: ¡need ¡access ¡to ¡privileged ¡features ¡

  12. Dune ¡architecture ¡ Kernel ¡ Process ¡ ¡ ¡ Dune ¡Module ¡ libDune ¡ ¡ ¡ Host ¡Mode ¡ Guest ¡Mode ¡ CPU ¡ • Dune ¡Module ¡(~2500 ¡LOC) ¡ – Configures ¡and ¡manages ¡virtualizaAon ¡hardware ¡ – Provides ¡integraAon ¡with ¡the ¡rest ¡of ¡the ¡kernel ¡in ¡order ¡to ¡support ¡a ¡ process ¡abstracAon ¡ – Uses ¡Intel ¡VT-­‑x ¡(could ¡easily ¡add ¡AMD ¡SVM) ¡

  13. Dune ¡architecture ¡ Kernel ¡ Process ¡ ¡ ¡ Dune ¡Module ¡ libDune ¡ ¡ ¡ Host ¡Mode ¡ Guest ¡Mode ¡ CPU ¡ • libDune ¡(~10,000 ¡LOC) ¡ – A ¡uAlity ¡library ¡to ¡help ¡applicaAons ¡manage ¡privileged ¡hardware ¡ features ¡ – Completely ¡untrusted ¡ – ExcepAon ¡handling, ¡system ¡call ¡handling, ¡page ¡allocator, ¡page ¡table ¡ management, ¡ELF ¡loader ¡

  14. Providing ¡a ¡process ¡abstracAon ¡ • Memory ¡management ¡ • System ¡calls ¡ • POSIX ¡Signals ¡ 14 ¡

  15. Memory ¡management ¡in ¡Dune ¡ • Configure ¡the ¡EPT ¡to ¡ Dune ¡Process ¡ provide ¡process ¡memory ¡ Guest-­‑Virtual ¡ • User ¡programs ¡can ¡then ¡ directly ¡access ¡the ¡page ¡ User ¡ table ¡ Page ¡ Table ¡ Kernel ¡ Host-­‑Virtual ¡ Guest-­‑Physical ¡ Kernel ¡ Page ¡ EPT ¡ Table ¡ Host-­‑Physical ¡(RAM) ¡ 15 ¡

  16. System ¡calls ¡in ¡Dune ¡ VMCALL ¡ SYSCALL ¡ Syscall ¡ Syscall ¡ Kernel ¡ Process ¡ Handler ¡ Handler ¡ Host ¡Mode ¡ Guest ¡Mode ¡ CPU ¡ • SYSCALL ¡will ¡only ¡trap ¡back ¡into ¡the ¡process ¡ • Use ¡ VMCALL ¡(i.e. ¡a ¡hypercall) ¡to ¡perform ¡ normal ¡kernel ¡system ¡calls ¡ 16 ¡

  17. But ¡SYSCALL ¡is ¡sAll ¡useful ¡ Untrusted ¡ Process ¡ Code ¡ Syscall ¡ (ring ¡0) ¡ Handler ¡ (ring ¡3) ¡ • Isolate ¡untrusted ¡code ¡by ¡running ¡it ¡in ¡a ¡less ¡ privileged ¡mode ¡(i.e. ¡ring ¡3 ¡on ¡x86) ¡ • Leverage ¡the ¡‘supervisor’ ¡bit ¡in ¡the ¡page ¡table ¡ to ¡protect ¡memory ¡ 17 ¡

  18. Signals ¡in ¡Dune ¡ • Signals ¡should ¡only ¡be ¡delivered ¡to ¡ring ¡0 ¡ • What ¡happens ¡if ¡process ¡is ¡in ¡ring ¡3? ¡ • Possible ¡soluAon: ¡have ¡the ¡Dune ¡module ¡ manually ¡transiAon ¡the ¡process ¡to ¡ring ¡0 ¡ – Works ¡but ¡slow ¡and ¡somewhat ¡complex ¡ • Our ¡soluAon: ¡deliver ¡signals ¡as ¡injected ¡ interrupts ¡ – Hardware ¡automaAcally ¡switches ¡to ¡ring ¡0 ¡ – Can ¡use ¡CLI ¡and ¡STI ¡to ¡efficiently ¡mask ¡signals ¡ 18 ¡

  19. Many ¡implementaAon ¡challenges ¡ • Reducing ¡VM ¡exit ¡and ¡VM ¡entry ¡overhead ¡ • Pthread ¡and ¡fork ¡were ¡tricky ¡to ¡integrate ¡with ¡ the ¡Linux ¡kernel ¡ • EPT ¡does ¡not ¡support ¡enough ¡address ¡space ¡ • Check ¡the ¡paper ¡for ¡details ¡ 19 ¡

  20. Outline ¡ • Overview ¡ • Design ¡ • Evalua-on ¡ 20 ¡

  21. EvaluaAon ¡ • How ¡much ¡overhead ¡does ¡Dune ¡add? ¡ • What ¡potenAal ¡does ¡Dune ¡create ¡for ¡ opAmizaAon? ¡ • What ¡is ¡Dune’s ¡performance ¡in ¡end-­‑to-­‑end ¡ use ¡cases? ¡ 21 ¡

  22. Overhead ¡analysis ¡ • Two ¡sources ¡of ¡overhead ¡ – VMX ¡transiAons ¡ – EPT ¡translaAons ¡ (cycles) ¡ Getpid ¡ Page ¡fault ¡ Page ¡walk ¡ Linux ¡ 138 ¡ 2,687 ¡ 36 ¡ Dune ¡ 895 ¡ 5,093 ¡ 86 ¡

  23. OpAmizaAon ¡analysis ¡ • Large ¡opportuniAes ¡for ¡opAmizaAon ¡ – Faster ¡system ¡call ¡interposiAon ¡and ¡traps ¡ – More ¡efficient ¡user-­‑level ¡virtual ¡memory ¡manipulaAon ¡ (cycles) ¡ ptrace ¡ trap ¡ Appel ¡1 ¡ Appel ¡2 ¡ (getpid) ¡ (TRAP, ¡PROT1, ¡ (PROTN, ¡TRAP, ¡ UNPROT) ¡ UNPROT) ¡ Linux ¡ 27,317 ¡ 2,821 ¡ 701,413 ¡ 684,909 ¡ Dune ¡ 1,091 ¡ 587 ¡ 94,496 ¡ 94,854 ¡ 23 ¡

  24. End-­‑to-­‑end ¡case ¡studies ¡ • We ¡built ¡and ¡evaluated ¡three ¡systems ¡ • ApplicaAon ¡sandbox ¡(~1300 ¡LOC) ¡ – Constrained ¡the ¡system ¡calls ¡performed ¡by ¡an ¡ untrusted ¡binary ¡ • Garbage ¡collecAon ¡(less ¡than ¡100 ¡LOC ¡change) ¡ – Improved ¡dirty ¡page ¡detecAon ¡through ¡direct ¡access ¡ to ¡dirty ¡bits ¡ • Privilege ¡separaAon ¡(~750 ¡LOC) ¡ – Supported ¡several ¡protecAon ¡domains ¡within ¡a ¡single ¡ process ¡through ¡use ¡of ¡mulAple ¡page ¡roots ¡(with ¡TLB ¡ tagging) ¡ 24 ¡

  25. Sandbox: ¡SPEC2000 ¡performance ¡ 25 20 Sandbox Sandbox w/ LGPG 15 Linux w/ LGPG 10 % Slowdown 5 0 − 5 − 10 − 15 − 20 − 25 gzip vpr gcc mesa art mcf equake crafty ammp parser eon perlbmk gap vortex bzip2 twolf • Only ¡notable ¡end-­‑to-­‑end ¡effect ¡is ¡EPT ¡overhead ¡ • Can ¡be ¡eliminated ¡through ¡use ¡of ¡large ¡pages ¡ 25 ¡

Recommend

Internal Roles Internal features: privileged mode, memory protection, file access permissions,

Internal Roles Internal features: privileged mode, memory protection, file access permissions,

Internal Roles Internal features: privileged mode, memory protection, file access permissions, etc. What do they accomplish? What is the real goal? Whom do we protect Internal features protect the operating system against users

536 views • 26 slides
USER COMPUTING FOR DUNE Heidi Schellman, Oregon State University 3/31/19 Our disks are full and

USER COMPUTING FOR DUNE Heidi Schellman, Oregon State University 3/31/19 Our disks are full and

1 USER COMPUTING FOR DUNE Heidi Schellman, Oregon State University 3/31/19 Our disks are full and we are sad 2 dune persistent storage usage by user 2 User Group Name Space used (GiB) # Files Justo Martin-Albo jmalbos dune 17,865

97 views • 9 slides
Our Mission and Guiding Principles Privileged and Confidential Privileged and Confidential M

Our Mission and Guiding Principles Privileged and Confidential Privileged and Confidential M

Our Mission and Guiding Principles Privileged and Confidential Privileged and Confidential M ISSION & GROUP STRUCTURE To ensure that every individual and every enterprise has complete access to financial services N EW N EW I NITIATIVES I

153 views • 11 slides
Set-UID Privileged Programs Need for Privileged Programs Password Dilemma Permissions of

Set-UID Privileged Programs Need for Privileged Programs Password Dilemma Permissions of

Set-UID Privileged Programs Need for Privileged Programs Password Dilemma Permissions of /etc/shadow File: How would normal users change their password? Two-Tier Approach Implementing fine-grained access control in operating

576 views • 31 slides
Smart NICs Ian Pratt Smart L2 NIC features Privileged/unprivileged NIC driver model

Smart NICs Ian Pratt Smart L2 NIC features Privileged/unprivileged NIC driver model

TM Smart NICs Ian Pratt Smart L2 NIC features Privileged/unprivileged NIC driver model Free/rx/tx descriptor queues into guest Packet demux and tx enforcement Validation of frag descriptors TX QoS CSUM offload / TSO / LRO

714 views • 7 slides
Kantara Workshop: Making the World Safe for User-Managed Access Eve Maler Kantara UMA Work

Kantara Workshop: Making the World Safe for User-Managed Access Eve Maler Kantara UMA Work

Kantara Workshop: Making the World Safe for User-Managed Access Eve Maler Kantara UMA Work Group Chair 4 May 2010 1 About Kantara Initiative http://kantarainitiative.org Participation: Open global identity, web, and developer community

985 views • 59 slides
International Engagement April 14, 2016 Privileged and confidential; staff level discussion

International Engagement April 14, 2016 Privileged and confidential; staff level discussion

International Engagement April 14, 2016 Privileged and confidential; staff level discussion draft; not for further distribution. The information contained herein does not reflect, and cannot be relied upon as evidence of any agency or

192 views • 5 slides
User-level Andreas Zoor & scheduling Nikolai Nagibin Whats User-level scheduling

User-level Andreas Zoor & scheduling Nikolai Nagibin Whats User-level scheduling

13.02.2014 User-level Andreas Zoor & scheduling Nikolai Nagibin Whats User-level scheduling Export scheduling policies form the kernel in the User- level Based on the idea of microkernel based operating systems

405 views • 12 slides
Privileged Attack Vectors: Building Effective Defense Strategies Morey J. Haber Chief

Privileged Attack Vectors: Building Effective Defense Strategies Morey J. Haber Chief

Privileged Attack Vectors: Building Effective Defense Strategies Morey J. Haber Chief Technology Officer mhaber@beyondtrust.com Agenda The Threat Landscape Sample Cases What is Privileged Access Management? Twelve

751 views • 31 slides
Investor Presentation August 2015 Strictly confidential & privileged Safe Harbour Certain

Investor Presentation August 2015 Strictly confidential & privileged Safe Harbour Certain

Investor Presentation August 2015 Strictly confidential & privileged Safe Harbour Certain statements in this release concerning our future growth prospects are forward-looking statements, which are subject to a number of risks,

746 views • 30 slides
Title II Planning Update April 14, 2016 Privileged and confidential; staff level discussion

Title II Planning Update April 14, 2016 Privileged and confidential; staff level discussion

Title II Planning Update April 14, 2016 Privileged and confidential; staff level discussion draft; not for further distribution. The information contained herein does not reflect, and cannot be relied upon as evidence of any agency or

376 views • 4 slides
DUNE Fitter Validation Daniel Cherdack Colorado State University DUNE LBPWG Meeting Monday July

DUNE Fitter Validation Daniel Cherdack Colorado State University DUNE LBPWG Meeting Monday July

DUNE Fitter Validation Daniel Cherdack Colorado State University DUNE LBPWG Meeting Monday July 3 rd , 2017 1 Motivation DUNE now has access to several Fitters GloBES/MGT LOAF VALOR Cafana Lfit Major benefit of many

278 views • 9 slides
= Second Quarter 2016 Results August 8, 2016 1 Privileged and Confidential Safe Harbor Some

= Second Quarter 2016 Results August 8, 2016 1 Privileged and Confidential Safe Harbor Some

= Second Quarter 2016 Results August 8, 2016 1 Privileged and Confidential Safe Harbor Some of the statements in this presentation, including statements regarding investor demand and anticipated future financial results are

420 views • 28 slides
OPENING DECEMBER 2016 LOCALISATION FRANCE EASY ACCESS PRIVILEGED AREA - 2 hours fmight from

OPENING DECEMBER 2016 LOCALISATION FRANCE EASY ACCESS PRIVILEGED AREA - 2 hours fmight from

C O U R C H E V E L OPENING DECEMBER 2016 LOCALISATION FRANCE EASY ACCESS PRIVILEGED AREA - 2 hours fmight from European Capitals - At the edge of pine forest - 2 hours drive from Geneva and Lyon airports - 10 minutes walk to Downtown - 4

301 views • 18 slides
Radspec is a safe alternative to Ethereum's natspec Demo Features External calls : Can perform

Radspec is a safe alternative to Ethereum's natspec Demo Features External calls : Can perform

Radspec is a safe alternative to Ethereum's natspec Demo Features External calls : Can perform calls to external contracts Safe : No DOM access at all Simple : Very familiar syntax (looks like Flow) Compatible : Most natspec

656 views • 21 slides
Drexel University College of Medicine Proofpoint Anti-SPAM User-Managed Features User Managed

Drexel University College of Medicine Proofpoint Anti-SPAM User-Managed Features User Managed

Drexel University College of Medicine Proofpoint Anti-SPAM User-Managed Features User Managed Features Email is filtered Scanned for viruses and scored for liklihood of SPAM Messages are delivered, quarantined or blocked

313 views • 10 slides
Midterm Review OS Structure User mode/ kernel mode Memory protection, privileged

Midterm Review OS Structure User mode/ kernel mode Memory protection, privileged

Midterm Review OS Structure User mode/ kernel mode Memory protection, privileged instructions System call Definition, examples, how it works? Other concepts to know Monolithic kernel vs. Micro kernel 2 API - System Call -

830 views • 28 slides
WFP SAFE Programme Safe Access To Fuel and Energy Daphne Carliez WFPs involvement in SAFE

WFP SAFE Programme Safe Access To Fuel and Energy Daphne Carliez WFPs involvement in SAFE

WFP SAFE Programme Safe Access To Fuel and Energy Daphne Carliez WFPs involvement in SAFE Addressing the serious challenges linked with access Fuel-efficient stoves to cooking fuel for the most vulnerable people in Fuel for Alternative

93 views • 8 slides
DUNE APA Requirements study Yichen Li Brookhaven National Laboratory DUNE APA Consortium

DUNE APA Requirements study Yichen Li Brookhaven National Laboratory DUNE APA Consortium

DUNE APA Requirements study Yichen Li Brookhaven National Laboratory DUNE APA Consortium Meeting 04/30/2018 DUNE-doc-7899-v1 DUNE APA Technical Requirements The Deep Underground Neutrino Experiment (DUNE) is planning for one or more of

558 views • 19 slides
Which factors affect user performance? Modem Configuration City Choice of access ISP

Which factors affect user performance? Modem Configuration City Choice of access ISP

Which factors affect user performance? Modem Configuration City Choice of access ISP Service Level Agreement DSLAM Time of Day Day of Week 1 Effects of Modem Configuration Users who have configured fastpath achieve

143 views • 11 slides
Proposal to add DUNE to the OSG Council Ken Herner for the DUNE Collaboration CHEP 2019 13 Dec

Proposal to add DUNE to the OSG Council Ken Herner for the DUNE Collaboration CHEP 2019 13 Dec

Proposal to add DUNE to the OSG Council Ken Herner for the DUNE Collaboration CHEP 2019 13 Dec 2019 DUNE Introduction DUNE is an international large-scale neutrino experiment hosted by Fermilab

543 views • 22 slides
virtual machines 1 last time access control lists user ID and group ID tracking IDs in kernel

virtual machines 1 last time access control lists user ID and group ID tracking IDs in kernel

virtual machines 1 last time access control lists user ID and group ID tracking IDs in kernel delegating naming, authentication to user programs set-user-ID programs: controlled access to priv. functions extremely tricky to write securely

1.3k views • 109 slides
WFPs SAFE Programme Safe Access To Fuel and Energy Daphn Carliez WFPs SAFE focus: Saving

WFPs SAFE Programme Safe Access To Fuel and Energy Daphn Carliez WFPs SAFE focus: Saving

WFPs SAFE Programme Safe Access To Fuel and Energy Daphn Carliez WFPs SAFE focus: Saving lives to ensure food can be cooked to meet nutritional needs in emergencies Reducing protection and health risks for women and children cooking

74 views • 6 slides
Interactive Engagement Experiences: Next Level Open Access for Collections Access to Digital

Interactive Engagement Experiences: Next Level Open Access for Collections Access to Digital

Interactive Engagement Experiences: Next Level Open Access for Collections Access to Digital Collections Current State of Affairs: Traditional Access through Digital Archive http://digi.countrymusichalloffame.org/ Digitization for Access

783 views • 14 slides

More recommend