MINIX 3
MINIX 3 je projekt s cílem vytvořit malý, vysoce spolehlivý a funkční Unix-like operační systém. Je zveřejněn pod licencí BSD a je nástupcem dřívějších operačních systémů MINIX 1 a 2.
Systém MINIX 3 se správcem oken TWM | |
Vyvíjí | Andrew S. Tanenbaum |
---|---|
Rodina OS | Unix-like |
Druh | Open source |
Aktuální verze | 3.3.0 / 16. září 2014[1] |
Podporované platformy | 32bitové verze: IA-32, ARM 64bitové verze ve vývoji: ARMv8 (prioritně), x86-64[2] |
Typ jádra | Mikrojádro |
Programovací jazyk | C, Assembler |
Výchozí uživatelské rozhraní | Příkazový řádek (ash) |
Licence | BSD licence |
Stav | Aktivní |
Oficiální web | minix3.org |
Hlavním cílem tohoto systému je, aby byl odolný proti chybám, za pomoci detekce a oprav sama sebe, za běhu, bez nutnosti zásahu uživatele. Jako hlavní použití tohoto operačního systému se očekávají vestavěné systémy a vzdělávání.[3]
MINIX 3 v současné době podporuje IA-32 a ARM architektury systémů. Je také možné spustit MINIX pod emulátory nebo virtuálními stroji, jako jsou Bochs[4][5], VMware Workstation[6], Microsoft Virtual PC[7], Oracle VirtualBox[8] a QEMU. Porty na architektury ARM[9] a PowerPC[10] jsou ve vývoji.
Distribuci je možné získat na live CD a také ji lze stáhnout ve formátu vhodném pro USB flash disk.[11] Nejnovější verze je 3.4.0rc6 z 9. května 2017.[12]
Cíle projektu
editovatV kontrastu k systémům založeným na monolitickém jádře, kde ovladače (které mají podle tvůrce MINIXu Tanenbauma, přibližně 3–7krát více chyb než obvyklý program)[13] mohou vyřadit z provozu celý systém[14], MINIX 3 si klade za cíl vytvořit operační systém, který je "spolehlivý, samoopravný, multiserverový klon UNIXu".[15]
V zájmu dosažení minimalizace kódu běžícího v jádře systému, byl realizován s file serverem, proces serverem a všemi ovladači zařízení běžícími jako samostatné procesy v uživatelském režimu. Každý ovladač je bedlivě sledován součástí systému známou jako reinkarnační server. Pokud ovladač nereaguje na ping od reinkarnačního serveru, je vypnut a nahrazen novou kopií ovladače.
V monolitickém systému může chyba v ovladači snadno shodit celé jádro, což je v MINIXu 3 mnohem méně pravděpodobné.[16]
Historie
editovatVerze | Datum vydání | Popis |
---|---|---|
3.1.0 | 2005-10-24 |
|
3.1.2a | 2006-05-29 |
|
3.1.3 | 2007-04-13 |
|
3.1.3a | 2007-06-08 |
|
3.1.4 | 2009-06-09 |
|
3.1.5 | 2009-11-05 |
|
3.1.6 | 2010-02-08 |
|
3.1.7 | 2010-06-16 | |
3.1.8 | 2010-10-04 |
|
3.2.0 | 2012-02-29 |
|
3.2.1 | 2013-02-21 |
|
3.3.0 | 2014-09-16 |
|
3.4.0 rc6 | 2017-05-09 | |
|
MINIX 3 byl veřejně uveden dne 24. října 2005 Andrewem Tanenbaumem, během jeho projevu konference ACM Symposium Operating Systems Principles. I když MINIX 3 stále slouží jako příklad pro nové vydání učebnice Tanenbauma a Woodhulla, je komplexně přepracován, aby byl "použitelný jako seriózní systém pro počítače s omezenými zdroji, vestavěné systémy a pro aplikace vyžadující vysokou spolehlivost."
O MINIX 3 se zajímal Intel prostřednictvím svého týmu inženýrů, který Tanenbauma kontaktoval.[18] Kromě technických dotazů se inženýři Intelu dotazovali i na množství úprav MINIXu, např. na snížení paměťové náročnosti, přidání #ifdefs do částí kódu, aby byly označitelné v konfiguračních souborech.[18] Díky těmto úpravám se stal MINIX 3 ještě více modulárnějším, než byl do té doby.[18] Po té Tanenbaumova spolupráce s Intelem na několik let ustala.[18] Později se ukázalo, že MINIX 3 byl využit jako operační systém v rámci Intel Management Engine 11, což z MINIXu učinilo patrně nejpoužívanější operační systém na světě.[18]
Spolehlivost v MINIXu 3
editovatJedním z hlavních cílů MINIXu 3 je spolehlivost. Níže jsou rozebírány některé z důležitých zásad, které ji u MINIXu 3 zvyšují.
Snížit velikost jádra
editovatMonolitické operační systémy, jako jsou Linux a FreeBSD, a hybridy, jako jsou Windows mají miliony řádků jádra kódu. V kontrastu s tím má MINIX 3 přibližně 6000 řádků spustitelného kódu jádra[19], což může pomoci při hledání chyby v kódu.
Izolovat chyby
editovatV monolitických jádrech jsou ovladače zařízení umístěny v samotném jádře. To znamená, že když je nová periferie nainstalována, je neznámý, neověřený kód vložen do jádra. Jeden chybný řádek kódu v ovladači může způsobit pád systému.
V MINIXu 3 je každý ovladač zařízení samostatným procesem, běžícím v uživatelském režimu. Ovladače nemohou vykonávat privilegované instrukce, měnit tabulky stránek, provádět libovolné vstupy/výstupy (I/O) a zapisovat do nestránkované paměti. Služby musí žádat jádro o povolení.
Omezit ovladačům přístup do paměti
editovatV monolitických jádrech může ovladač napsat jakékoliv slovo do paměti a omylem tak poškodit uživatelské programy.
V MINIXu 3, když například uživatel očekává data od souborového systému, vytváří popisovač (deskriptor) určující, kdo má přístup a na jaké adresy. Ten pak poskytne index pro tento popisovač souborového systému, který mohou předat ovladači. Tento souborový systém nebo ovladač se pak ptá jádra, zda může zapsat prostřednictvím popisovače, takže je pro něj nemožné zapsat na adresy mimo vyrovnávací paměť (buffer).
Přežít neplatné ukazatele
editovatDereferencing neplatného ukazatele během práce ovladače nabourá ovladač procesu, ale nebude mít žádný vliv na systém jako celek. Reinkarnační server bude havarovaný ovladač automaticky restartovat. Pro některé ovladače (např., disku a sítě) je oživení pro uživatelské procesy transparentní. Pro ostatní (např. audio a tiskárny), si jich uživatel může všimnout. V monolitických jádrech dereferencing neplatného ukazatele v ovladači vede obvykle k havárii systému.
Zkrotit nekonečné smyčky
editovatPokud se ovladač dostane do nekonečné smyčky, bude plánovač postupně snižovat jeho prioritu, až se stane nečinným. Nakonec reinkarnační server bude vidět, že ovladač nereaguje na stav žádosti, tedy ho odstraní a restartuje. V monolitickém jádru zacyklený ovladač může zastavit systém.
Omezení poškození od přetečení vyrovnávací paměti
editovatMINIX 3 využívá pro interní komunikaci pevné délky zpráv, která eliminuje některá přetečení vyrovnávací paměti (bufferu) a problémů s jejím řízením. Také mnohé exploity využívají princip přetečení vyrovnávací paměti, aby trikem podvrhly programu pro návrat z volání funkce pomocí přepsání zásobníku návratovou adresu ukazující do útočníkem ovládané paměti, obvykle přetečení vyrovnávací paměti sám způsobí. V MINIXu 3 je riziko tohoto útoku zmírněno, protože instrukce a data jsou rozdělena a pouze kód (který je pouze pro čtení) může být proveden. Toto je běžně známé jako Data Execution Prevention.
Omezit přístup k funkcím jádra
editovatOvladače zařízení získávají služby kernelu (např. kopírování dat do uživatelského adresního prostoru), a to pomocí volání jádra. Jádro MINIXu 3 má bitovou mapu pro každý ovladač, který upřesňuje, které volání je oprávněn dělat. V monolitických jádrech může každý ovladač volat každou funkci jádra, oprávněnou či nikoliv.
Omezit přístup k I/O portům
editovatJádro také udržuje tabulku popisující, které I/O porty může jednotlivý ovladač použít. Výsledkem je, že ovladač může přistupovat jen ke svým vlastním I/O portům. V monolitických jádrech může mít chybný ovladač přístup k I/O portům, které přísluší jinému zařízení.
Omezit komunikaci s komponenty OS
editovatNe každý ovladač a server musí komunikovat s každými ostatními ovladači a servery. Proto má každý proces bitovou mapu, která určuje, které destinaci může jednotlivý proces poslat.
Reinkarnace mrtvých nebo poškozených ovladačů
editovatSpeciální proces, nazvaný reinkarnační server, pravidelně dotazuje (ping) každý ovladač zařízení. Pokud ovladač havaruje, nebo nedokáže správně reagovat na dotaz, reinkarnační server jej automaticky nahradí novou kopii. Detekce a výměna nefunkčního ovladače je automatická, bez potřeby zásahu uživatele. Tato funkce v současné době nefunguje pro ovladače disků, ale v příští verzi bude systém schopen obnovit i ovladače disku, který bude ve stínu v random-access memory (RAM). Obnova ovladačů nemá vliv na běžící procesy.
Integrovat přerušení a zprávy
editovatKdyž nastane přerušení, je na nízké úrovni převedeno na zprávu zaslanou příslušnému ovladači. Pokud ovladač čeká na zprávu, dostane přerušení okamžitě, jinak dostane upozornění, že příště OBDRŽÍ zprávu. Toto schéma eliminuje vnořená přerušení a dělá programování ovladače jednodušší.
Architektura
editovatJak lze vidět, na spodní úrovni je mikrokernel, což je asi 4000 řádků kódu (většinou v programovacím jazyce C, plus malé množství Assembleru). Zpracovává přerušení, plánování a předávání zpráv. Jeho API také podporuje asi 30 jaderných volání, které mohou autorizované servery a ovladače realizovat. Uživatelské programy nemohou tato volání použít. Místo toho mohou používat POSIXová systémová volání, která mohou odeslat zprávy na servery. Jaderná volání provádějí funkce jako je nastavení přerušení a kopírování dat mezi adresními prostory.
Na další úrovni, jsou tu ovladače zařízení, každé z nich běží jako samostatný uživatelský proces. Každý z nich ovládá některé I/O zařízení, jako je například disk nebo tiskárna. Ovladače nemají přístup k I/O prostoru a nemohou provádět I/O instrukce přímo. Místo toho musí ovladače provést volání jádra se seznamem I/O portů hodnot určených pro zapsání. Zatímco tam je malé množství režie (typicky 500 ns), tento systém umožňuje, aby jádro zkontrolovalo, zda má ovladač povolení. Aby například audio ovladač nemohl zapisovat na disk.
Na další úrovni existují servery (služby, démoni). To je místo, kde se nachází téměř všechny funkčnosti operačního systému. Uživatelské procesy získávají souborové služby, jako například odesílání zpráv na souborový server, jako otevřít, zavřít, číst a zapisovat soubory. Na druhé straně, souborový server dostane diskový I/O zasláním zprávy na ovladač disku, který v současnosti řídí disk.
Jedním z klíčových serverů je reinkarnační server (viz též watchdog timer). Jeho úkolem je průzkum všech ostatních serverů a ovladače pro kontrolu na své zdraví pravidelně. Pokud se součásti nezdaří reagovat správně, nebo se ukončí nebo dostane do nekonečné smyčky, reinkarnační server (který je nadřazený proces ovladače a servery) odstraní vadné součásti a nahradí je novou kopií. Tímto způsobem je systém automaticky samoopraven, aniž by bylo zasahováno do spuštěných programů.
V současné době reinkarnační server, proces server a mikrokernel jsou součástí "trusted computing base". Pokud některý z nich selže, systém se zhroutí. Nicméně, snížení trusted computing base (jádra systému) od 3-5 milionů řádků kódu nacházejících se v systémech Linux a Windows, na asi 20 000 řádek, výrazně zvyšuje spolehlivost systému.
Odkazy
editovatReference
editovatV tomto článku byl použit překlad textu z článku MINIX 3 na anglické Wikipedii.
- ↑ MINIX 3.3.0 is Available Now. www.minix3.org [online]. [cit. 2017-03-07]. Dostupné v archivu pořízeném z originálu dne 2020-11-12.
- ↑ SCHROEDER, Stefan. Frequently Asked Questions [online]. Rev. 2016-12-14 [cit. 2016-12-18]. Dostupné v archivu pořízeném z originálu dne 2019-04-26. (anglicky)
- ↑ [Posted October 24, 2005 by corbet]. Minix 3 hits the net [online]. Lwn.net, 2005-10-24 [cit. 2014-05-01]. Dostupné online.
- ↑ Getting Started with Minix on Bochs on Mac OS [online]. Woodhull.com [cit. 2014-05-01]. Dostupné online.
- ↑ OSNews.com [online]. OSNews.com [cit. 2014-05-01]. Dostupné online.
- ↑ Minix under VMWare Installation How-To [online]. Patrick.wagstrom.net [cit. 2014-05-01]. Dostupné v archivu pořízeném dne 2013-11-12.
- ↑ Minix on Virtual PC: first look [online]. Woodhull.com [cit. 2014-05-01]. Dostupné online.
- ↑ Minix 3 on Virtual box [online]. inopinion.org. Dostupné online.
- ↑ minix3.org [online]. minix3.org [cit. 2014-05-01]. Dostupné online.
- ↑ Ingmar Alting. A port of the MINIX OS to the PowerPC platform [online]. Dostupné online.
- ↑ Minix3 [online]. Minix3 [cit. 2014-05-01]. Dostupné online.
- ↑ MINIX 3.4 RC6 Released - Phoronix. www.phoronix.com [online]. [cit. 2017-06-16]. Dostupné online. (anglicky)
- ↑ TANENBAUM, Andy. Introduction to MINIX 3 [online]. OSnews, 2006-09-25 [cit. 2008-07-04]. Dostupné online.
- ↑ CSAIL Calendar: CSAIL Event Calendar [online]. Csail.mit.edu [cit. 2014-05-01]. Dostupné v archivu pořízeném dne 2012-02-04.
- ↑ Tanenbaum-Torvalds debate, Part II [online]. Cs.vu.nl, 2006-05-12 [cit. 2014-05-01]. Dostupné online.
- ↑ Archivovaná kopie [online]. July 1, 2006 [cit. 2019-10-15]. Dostupné v archivu pořízeném dne 2006-07-01.
- ↑ MIKE632T. Installing X windows on MINIX 3 [online]. 2022-03-25 [cit. 2023-01-14]. Dostupné online. (anglicky)
- ↑ a b c d e JEŽEK, David. MINIX je zřejmě nejrozšířenějším systémem, je ukrytý v procesorech Intel. root.cz [online]. 8. 11. 2017. Dostupné online. ISSN 1802-8012.
- ↑ The MINIX 3 Operating System [online]. [cit. 2017-03-07]. Dostupné v archivu pořízeném dne 2017-03-01.
Související články
editovatExterní odkazy
editovat- MINIX 3: a Modular, Self-Healing POSIX-compatible Operating System na YouTube
- minix3.ru
- comp.os.minix - official forum(since 1987)
- A very good description of Minix 3 by Andrew S. Tanenbaum
- MINIX: what is it, and why is it still relevant? An interview with Andy Tanenbaum
- Minix Network Service Documentation
- Can We Make Operating Systems Reliable and Secure?
- Minix Tips for running the Operating System Version
- Minix3 installation na YouTube
- A reimplementation of NetBSD based on a microkernel
- MINIX 3 on ARM by Kees Jongenburger
- Lessons Learned from 30 Years of MINIX By Andrew S. Tanenbaum