 | |
 Systém MINIX 3 se správcem okenTWM | |
| Vyvíjí | Andrew S. Tanenbaum |
|---|---|
| Rodina OS | Unix-like |
| Druh | Open source |
| Aktuální verze | 3.3.0 /16. září2014[1] |
| Podporované platformy | 32bitové verze:IA-32,ARM 64bitové verze ve vývoji:ARMv8 (prioritně),x86-64[2] |
| Typ jádra | Mikrojádro |
| Programovací jazyk | C,Assembler |
| Výchozíuživatelské rozhraní | Příkazový řádek (ash) |
| Licence | BSD licence |
| Stav | Aktivní |
| Oficiální web | minix3.org |
MINIX 3 je projekt s cílem vytvořit malý,vysoce spolehlivý a funkčníUnix-likeoperační systém. Je zveřejněn podlicencí BSD a je nástupcem dřívějších operačních systémůMINIX 1 a 2.
Hlavním cílem tohoto systému je, aby bylodolný proti chybám, za pomoci detekce a oprav sama sebe, za běhu, bez nutnosti zásahu uživatele. Jako hlavní použití tohoto operačního systému se očekávajívestavěné systémy a vzdělávání.[3]
MINIX 3 v současné době podporujeIA-32 aARM architektury systémů. Je také možné spustit MINIX podemulátory nebovirtuálními stroji, jako jsouBochs[4][5],VMware Workstation[6],Microsoft Virtual PC[7], OracleVirtualBox[8] aQEMU. Porty na architekturyARM[9] aPowerPC[10] jsou ve vývoji.
Distribuci je možné získat nalive CD a také ji lze stáhnout ve formátu vhodném pro USB flash disk.[11] Nejnovější verze je 3.4.0rc6 z9. května2017.[12]
V kontrastu k systémům založeným namonolitickém jádře, kde ovladače (které mají podle tvůrce MINIXuTanenbauma, přibližně 3–7krát více chyb než obvyklý program)[13] mohou vyřadit z provozu celý systém[14], MINIX 3 si klade za cíl vytvořit operační systém, který je "spolehlivý, samoopravný, multiserverový klon UNIXu".[15]
V zájmu dosažení minimalizace kódu běžícího vjádře systému, byl realizován s file serverem, proces serverem a všemi ovladači zařízení běžícími jako samostatné procesy v uživatelském režimu. Každý ovladač je bedlivě sledován součástí systému známou jako reinkarnační server. Pokud ovladač nereaguje na ping od reinkarnačního serveru, je vypnut a nahrazen novou kopií ovladače.
V monolitickém systému může chyba v ovladači snadno shodit celé jádro, což je v MINIXu 3 mnohem méně pravděpodobné.[16]
| Verze | Datum vydání | Popis |
|---|---|---|
| 3.1.0 | 2005-10-24 |
|
| 3.1.2a | 2006-05-29 |
|
| 3.1.3 | 2007-04-13 |
|
| 3.1.3a | 2007-06-08 |
|
| 3.1.4 | 2009-06-09 |
|
| 3.1.5 | 2009-11-05 |
|
| 3.1.6 | 2010-02-08 |
|
| 3.1.7 | 2010-06-16 | |
| 3.1.8 | 2010-10-04 |
|
| 3.2.0 | 2012-02-29 |
|
| 3.2.1 | 2013-02-21 |
|
| 3.3.0 | 2014-09-16 |
|
| 3.4.0 rc6 | 2017-05-09 | |
| ||
MINIX 3 byl veřejně uveden dne 24. října 2005 Andrewem Tanenbaumem, během jeho projevu konference ACM Symposium Operating Systems Principles. I když MINIX 3 stále slouží jako příklad pro nové vydání učebnice Tanenbauma a Woodhulla, je komplexně přepracován, aby byl "použitelný jako seriózní systém pro počítače s omezenými zdroji, vestavěné systémy a pro aplikace vyžadující vysokou spolehlivost."
O MINIX 3 se zajímalIntel prostřednictvím svého týmu inženýrů, který Tanenbauma kontaktoval.[18] Kromě technických dotazů se inženýři Intelu dotazovali i na množství úprav MINIXu, např. na snížení paměťové náročnosti, přidání #ifdefs do částí kódu, aby byly označitelné vkonfiguračních souborech.[18] Díky těmto úpravám se stal MINIX 3 ještě více modulárnějším, než byl do té doby.[18] Po té Tanenbaumova spolupráce s Intelem na několik let ustala.[18] Později se ukázalo, že MINIX 3 byl využit jako operační systém v rámciIntel Management Engine 11, což z MINIXu učinilo patrně nejpoužívanější operační systém na světě.[18]
Jedním z hlavních cílů MINIXu 3 je spolehlivost. Níže jsou rozebírány některé z důležitých zásad, které ji u MINIXu 3 zvyšují.
Monolitické operační systémy, jako jsouLinux aFreeBSD, a hybridy, jako jsouWindows mají miliony řádkůjádra kódu. V kontrastu s tím má MINIX 3 přibližně 6000 řádků spustitelného kódu jádra[19], což může pomoci při hledání chyby v kódu.
V monolitických jádrech jsouovladače zařízení umístěny v samotném jádře. To znamená, že když je nová periferie nainstalována, je neznámý, neověřený kód vložen do jádra. Jeden chybný řádek kódu v ovladači může způsobit pád systému.
V MINIXu 3 je každý ovladač zařízení samostatným procesem, běžícím v uživatelském režimu. Ovladače nemohou vykonávat privilegované instrukce, měnittabulky stránek, provádět libovolnévstupy/výstupy (I/O) a zapisovat do nestránkované paměti. Služby musí žádat jádro o povolení.
V monolitických jádrech může ovladač napsat jakékoliv slovo do paměti a omylem tak poškodit uživatelské programy.
V MINIXu 3, když například uživatel očekává data od souborového systému, vytváří popisovač (deskriptor) určující, kdo má přístup a na jaké adresy. Ten pak poskytne index pro tento popisovač souborového systému, který mohou předat ovladači. Tento souborový systém nebo ovladač se pak ptá jádra, zda může zapsat prostřednictvím popisovače, takže je pro něj nemožné zapsat na adresy mimo vyrovnávací paměť (buffer).
Dereferencing neplatného ukazatele během práce ovladače nabourá ovladač procesu, ale nebude mít žádný vliv na systém jako celek. Reinkarnační server bude havarovaný ovladač automaticky restartovat. Pro některé ovladače (např., disku a sítě) je oživení pro uživatelské procesy transparentní. Pro ostatní (např. audio a tiskárny), si jich uživatel může všimnout. V monolitických jádrech dereferencing neplatného ukazatele v ovladači vede obvykle k havárii systému.
Pokud se ovladač dostane donekonečné smyčky, bude plánovač postupně snižovat jeho prioritu, až se stane nečinným. Nakonec reinkarnační server bude vidět, že ovladač nereaguje na stav žádosti, tedy ho odstraní a restartuje. V monolitickém jádru zacyklený ovladač může zastavit systém.
MINIX 3 využívá pro interní komunikaci pevné délky zpráv, která eliminuje některápřetečení vyrovnávací paměti (bufferu) a problémů s jejím řízením. Také mnohéexploity využívají princip přetečení vyrovnávací paměti, aby trikem podvrhly programu pro návrat z volání funkce pomocí přepsání zásobníku návratovou adresu ukazující do útočníkem ovládané paměti, obvykle přetečení vyrovnávací paměti sám způsobí. V MINIXu 3 je riziko tohoto útoku zmírněno, protože instrukce a data jsou rozdělena a pouze kód (který je pouze pro čtení) může být proveden. Toto je běžně známé jako Data Execution Prevention.
Ovladače zařízení získávají služby kernelu (např. kopírování dat do uživatelského adresního prostoru), a to pomocí volání jádra. Jádro MINIXu 3 má bitovou mapu pro každý ovladač, který upřesňuje, které volání je oprávněn dělat. V monolitických jádrech může každý ovladač volat každou funkci jádra, oprávněnou či nikoliv.
Jádro také udržuje tabulku popisující, kteréI/O porty může jednotlivý ovladač použít. Výsledkem je, že ovladač může přistupovat jen ke svým vlastním I/O portům. V monolitických jádrech může mít chybný ovladač přístup k I/O portům, které přísluší jinému zařízení.
Ne každý ovladač a server musí komunikovat s každými ostatními ovladači a servery. Proto má každýproces bitovou mapu, která určuje, které destinaci může jednotlivý proces poslat.
Speciální proces, nazvaný reinkarnační server, pravidelně dotazuje (ping) každý ovladač zařízení. Pokud ovladač havaruje, nebo nedokáže správně reagovat na dotaz, reinkarnační server jej automaticky nahradí novou kopii. Detekce a výměna nefunkčního ovladače je automatická, bez potřeby zásahu uživatele. Tato funkce v současné době nefunguje pro ovladače disků, ale v příští verzi bude systém schopen obnovit i ovladače disku, který bude ve stínu vrandom-access memory (RAM). Obnova ovladačů nemá vliv na běžící procesy.
Když nastanepřerušení, je na nízké úrovni převedeno na zprávu zaslanou příslušnému ovladači. Pokud ovladač čeká na zprávu, dostane přerušení okamžitě, jinak dostane upozornění, že příště OBDRŽÍ zprávu. Toto schéma eliminuje vnořená přerušení a dělá programování ovladače jednodušší.
Jak lze vidět, na spodní úrovni jemikrokernel, což je asi 4000 řádků kódu (většinou vprogramovacím jazyce C, plus malé množstvíAssembleru). Zpracovávápřerušení,plánování a předávání zpráv. JehoAPI také podporuje asi 30 jaderných volání, které mohou autorizované servery a ovladače realizovat. Uživatelské programy nemohou tato volání použít. Místo toho mohou používatPOSIXovásystémová volání, která mohou odeslat zprávy na servery. Jaderná volání provádějí funkce jako je nastavení přerušení a kopírování dat mezi adresními prostory.
Na další úrovni, jsou tuovladače zařízení, každé z nich běží jako samostatnýuživatelský proces. Každý z nich ovládá některé I/O zařízení, jako je například disk nebo tiskárna. Ovladače nemají přístup k I/O prostoru a nemohou provádět I/O instrukce přímo. Místo toho musí ovladače provést volání jádra se seznamem I/O portů hodnot určených pro zapsání. Zatímco tam je malé množství režie (typicky 500 ns), tento systém umožňuje, aby jádro zkontrolovalo, zda má ovladač povolení. Aby například audio ovladač nemohl zapisovat na disk.
Na další úrovni existujíservery (služby,démoni). To je místo, kde se nachází téměř všechny funkčnosti operačního systému. Uživatelsképrocesy získávají souborové služby, jako například odesílání zpráv nasouborový server, jako otevřít, zavřít, číst a zapisovatsoubory. Na druhé straně, souborový server dostane diskový I/O zasláním zprávy na ovladač disku, který v současnosti řídí disk.
Jedním z klíčových serverů je reinkarnační server (viz téžwatchdog timer). Jeho úkolem je průzkum všech ostatních serverů a ovladače pro kontrolu na své zdraví pravidelně. Pokud se součásti nezdaří reagovat správně, nebo se ukončí nebo dostane donekonečné smyčky, reinkarnační server (který je nadřazený proces ovladače a servery) odstraní vadné součásti a nahradí je novou kopií. Tímto způsobem je systém automaticky samoopraven, aniž by bylo zasahováno do spuštěných programů.
V současné době reinkarnační server, proces server a mikrokernel jsou součástí "trusted computing base". Pokud některý z nich selže, systém se zhroutí. Nicméně, snížení trusted computing base (jádra systému) od 3-5 milionů řádků kódu nacházejících se v systémechLinux aWindows, na asi 20 000 řádek, výrazně zvyšuje spolehlivost systému.
V tomto článku byl použitpřeklad textu z článkuMINIX 3 na anglické Wikipedii.
{{Cite web}} označená jako k „pouze dočasnému použití“.{{Cite web}} označená jako k „pouze dočasnému použití“.{{Cite web}} označená jako k „pouze dočasnému použití“.{{Cite web}} označená jako k „pouze dočasnému použití“.{{Cite web}} označená jako k „pouze dočasnému použití“.{{Cite web}} označená jako k „pouze dočasnému použití“.{{Cite web}} označená jako k „pouze dočasnému použití“.{{Cite web}} označená jako k „pouze dočasnému použití“.{{Cite web}} označená jako k „pouze dočasnému použití“.{{Cite web}} označená jako k „pouze dočasnému použití“.{{Cite web}} označená jako k „pouze dočasnému použití“.{{Cite web}} označená jako k „pouze dočasnému použití“.{{Cite web}} označená jako k „pouze dočasnému použití“.{{Cite web}} označená jako k „pouze dočasnému použití“.| Operační systémy | ||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| BSD | ||||||||||||||||
| Linux (distribuce) |
| |||||||||||||||
| GNU | ||||||||||||||||
| MIT (licence) | ||||||||||||||||
| (Mac) OS X •macOS | ||||||||||||||||
| DOS | ||||||||||||||||
| Windows |
| |||||||||||||||
| Mobilní telefony aPDA | ||||||||||||||||
| další | ||||||||||||||||
| historické | ||||||||||||||||