memfd_secret(2)               System Calls Manual              memfd_secret(2)

NUME
       memfd_secret - creeaza un fi<?>ier anonim bazat pe RAM pentru a accesa
       regiuni de memorie secrete

BIBLIOTECA
       Biblioteca C standard (libc, -lc)

REZUMAT

       #include <sys/syscall.h>      /* Definirea constantelor SYS_* */
       #include <unistd.h>

       int syscall(SYS_memfd_secret, unsigned int flags);

       Nota: glibc nu ofera nicio func<?>ie invaluitoare pentru
       memfd_secret(), fiind necesara utilizarea syscall(2).

DESCRIERE
       memfd_secret() creeaza un fi<?>ier anonim bazat pe RAM <?>i returneaza
       un descriptor de fi<?>ier care face referire la acesta. Fi<?>ierul
       ofera o modalitate de a crea <?>i de a accesa regiuni de memorie cu o
       protec<?>ie mai puternica decat fi<?>ierele obi<?>nuite bazate pe RAM
       <?>i har<?>ile de memorie anonime. Odata ce toate referin<?>ele
       deschise la fi<?>ier sunt inchise, acesta este eliberat automat.
       Dimensiunea ini<?>iala a fi<?>ierului este stabilita la 0. In urma
       apelului, dimensiunea fi<?>ierului ar trebui sa fie stabilita utilizand
       ftruncate(2).

       Zonele de memorie care sus<?>in fi<?>ierul creat cu memfd_secret(2)
       sunt vizibile numai pentru procesele care au acces la descriptorul de
       fi<?>ier. Regiunea de memorie este eliminata din tabelele de pagini ale
       nucleului <?>i numai tabelele de pagini ale proceselor care de<?>in
       descriptorul de fi<?>ier cartografiaza memoria fizica corespunzatoare;
       (astfel, paginile din regiune nu pot fi accesate de catre nucleul
       insu<?>i, astfel incat, de exemplu, indicatorii catre regiune nu pot fi
       trecu<?>i in apelurile de sistem).

       Urmatoarele valori pot fi combinate in mod binar OR in flags pentru a
       controla comportamentul lui memfd_secret():

       FD_CLOEXEC
              Activeaza fanionul ,,close-on-exec" pe noul descriptor de
              fi<?>ier, ceea ce face ca regiunea sa fie eliminata din proces
              la execve(2). A se vedea descrierea fanionului O_CLOEXEC in
              open(2).

       Ca valoare de retur, memfd_secret() returneaza un nou descriptor de
       fi<?>ier care se refera la un fi<?>ier anonim.  Acest descriptor de
       fi<?>ier este deschis atat pentru citire, cat <?>i pentru scriere
       (O_RDWR), iar O_LARGEFILE este definit pentru descriptorul de fi<?>ier.

       In ceea ce prive<?>te fork(2) <?>i execve(2), se aplica semantica
       obi<?>nuita pentru descriptorul de fi<?>ier creat de memfd_secret(). O
       copie a descriptorului de fi<?>ier este mo<?>tenita de procesul-copil
       creat de fork(2) <?>i se refera la acela<?>i fi<?>ier. Descriptorul de
       fi<?>ier este pastrat de execve(2), cu excep<?>ia cazului in care nu a
       fost activat fanionul ,,close-on-exec".

       Regiunea de memorie este blocata in memorie in acela<?>i mod ca <?>i in
       cazul mlock(2), astfel incat nu va fi niciodata scrisa in spa<?>iul de
       interschimb, iar hibernarea este inhibata atata timp cat exista
       descrieri memfd_secret(). Cu toate acestea, implementarea lui
       memfd_secret() nu va incerca sa populeze intregul interval in timpul
       apelului mmap(2) care ata<?>eaza regiunea in spa<?>iul de adrese al
       procesului; in schimb, paginile sunt alocate efectiv doar pe masura ce
       sunt introduse prin eroare. Cantitatea de memorie permisa pentru
       har<?>ile de memorie ale descriptorului de fi<?>ier se supune
       acelora<?>i reguli ca <?>i mlock(2) <?>i nu poate depa<?>i
       RLIMIT_MEMLOCK.

VALOAREA RETURNATA
       In caz de succes, memfd_secret() returneaza un nou descriptor de
       fi<?>ier.  In caz de eroare, se returneaza -1, iar errno este
       configurata pentru a indica eroarea.

ERORI-IE<?>IRE
       EINVAL flags include bi<?>i necunoscu<?>i.

       EMFILE Limita per proces a numarului de descriptori de fi<?>iere
              deschise a fost atinsa.

       EMFILE Limita la nivel de sistem a numarului total de fi<?>iere
              deschise a fost atinsa.

       ENOMEM Nu a existat suficienta memorie pentru a crea un nou fi<?>ier
              anonim.

       ENOSYS memfd_secret() nu este implementat pe aceasta arhitectura sau nu
              a fost activat in linia de comanda a nucleului cu
              secretmem_enable=1.

STANDARDE
       Linux.

ISTORIC
       Linux 5.14.

NOTE
       Apelul de sistem memfd_secret() este conceput pentru a permite unui
       proces din spa<?>iul utilizatorului sa creeze un interval de memorie
       inaccesibil pentru oricine altcineva, inclusiv pentru nucleu. Nu exista
       o garan<?>ie de 100% ca nucleul nu va putea accesa intervale de memorie
       sus<?>inute de memfd_secret() in orice circumstan<?>e, dar, cu toate
       acestea, este mult mai greu de a extrage date din aceste regiuni.

       memfd_secret() asigura urmatoarele protec<?>ii:

       o  Protec<?>ie imbunata<?>ita (impreuna cu toate celelalte sisteme de
          prevenire a atacurilor din nucleu) impotriva atacurilor ROP.
          Absen<?>a oricarei primitive in interiorul nucleului pentru
          accesarea memoriei sus<?>inute de memfd_secret() inseamna ca atacul
          ROP cu un singur gadget (dispozitiv) nu poate func<?>iona pentru a
          realiza extragerea de date. Atacatorul ar trebui sa gaseasca
          suficiente gadget-uri ROP pentru a reconstrui intrarile lipsa din
          tabelul de pagini, ceea ce spore<?>te in mod semnificativ
          dificultatea atacului, in special atunci cand exista alte
          protec<?>ii, cum ar fi limitarea dimensiunii stivei in nucleu <?>i
          organizarea aleatorie a spa<?>iului de adrese.

       o  Impiedica<?>i expunerile de memorie in spa<?>iul utilizatorului
          intre procese. Odata ce o regiune pentru o cartografiere de memorie
          memfd_secret() este alocata, utilizatorul nu o poate trece
          accidental in nucleu pentru a fi transmisa undeva. Paginile de
          memorie din aceasta regiune nu pot fi accesate prin intermediul
          har<?>ii directe <?>i sunt interzise in get_user_pages.

       o  Proteja<?>i-va impotriva defectelor de nucleu exploatate.  Pentru a
          accesa zonele de memorie sus<?>inute de memfd_secret(), un atac la
          nivelul nucleului ar trebui fie sa parcurga tabelele de pagini <?>i
          sa creeze altele noi, fie sa genereze un nou proces privilegiat in
          spa<?>iul utilizatorului pentru a efectua extragerea de secrete
          utilizand ptrace(2).

       Modul in care memfd_secret() aloca <?>i blocheaza memoria poate avea un
       impact asupra performan<?>elor generale ale sistemului; prin urmare,
       apelul de sistem este dezactivat in mod implicit <?>i este disponibil
       numai daca administratorul de sistem l-a activat folosind parametrul de
       nucleu ,,secretmem.enable=y".

       Pentru a preveni eventualele scurgeri de date din regiunile de memorie
       sus<?>inute de memfd_secret() dintr-o imagine de hibernare, hibernarea
       este impiedicata atunci cand exista utilizatori memfd_secret() activi.

CONSULTA<?>I <?>I
       fcntl(2), ftruncate(2), mlock(2), memfd_create(2), mmap(2),
       setrlimit(2)

TRADUCERE
       Traducerea in limba romana a acestui manual a fost facuta de Remus-
       Gabriel Chelu <remusgabriel.chelu@disroot.org>

       Aceasta traducere este documenta<?>ie gratuita; citi<?>i Licen<?>a
       publica generala GNU Versiunea 3
       <https://www.gnu.org/licenses/gpl-3.0.html> sau o versiune ulterioara
       cu privire la condi<?>ii privind drepturile de autor.  NU se asuma
       NICIO RESPONSABILITATE.

       Daca gasi<?>i erori in traducerea acestui manual, va rugam sa
       trimite<?>i un e-mail la <translation-team-ro@lists.sourceforge.net>.

Pagini de manual de Linux 6.06 31 octombrie 2023               memfd_secret(2)