Linux 内存管理之 SLUB分配器（1）： Object-layout

SLUB分配器内容相较于SLOB会更多一些，分几次逐步学习整理；

Object即SLUB分配器中，分配给用户的基本单位，本小节即介绍Object 的layout构成（debug条件下），首先来看一张图，即本部分的核心内容：

1. 数据结构

SLUB中Object layout在calculate_sizes接口中计算得到：

在没有打开SLUB_DEBUG情况下obj中只有自身大小 + 对齐即可（fp嵌在开头）；
打开debug功能后，会在obj前后增加一些结构，用于检测判断是否存在异常；
1. 增加red zone、track结构、pading部分
2. 经该接口后获取到layout如上图所示，后续增加数据转换部分，将red_left_pad放到左侧；

2. allocate_slab

当SLUB allocator申请一块内存作为slab 缓存池的时候，会将整块内存填充POISON_INUSE。如下图所示

3. layout 状态转换

free layout 填充数据如下：

通过检查red zone的数据可以判断是否在左右存在越界使用的情况；
1. 左侧越界，即red_left_pad中值非0xcc
2. 右侧越界，slab_red_zone中值非0xcc
通过检查obj中的数据 + red zone可以判断是否存在如下几种情况：
1. use-uninitialised，即red zone中值为0xcc，而obj中值非0x6b0x6b…0x5a
2. use-after-free，即red zone中值为0xbb，而obj中值非0x6b0x6b…0x5a

4. 关于object中red_left_pad位置调整的处理

从图中可以看到，我们在计算object size大小的时候，red_left_pad是放在最后添加的，而实际分配的时候该部分信息确是在object的最左侧的，在此位置也符合其实际功能，即判断object左侧是否存在越界行为，本部分介绍这块layout分配时的具体方法：

核心部分即上图中第3步，接下来详细看下这几个核心API：

for_each_object_idx 宏

#define for_each_object_idx(__p, __idx, __s, __addr, __objects) \for (__p = fixup_red_left(__s, __addr), __idx = 1; \__idx <= __objects; \__p += (__s)->size, __idx++)
//这个宏也是关键部分，__addr为page中第一个object的地址，__objects为此slub page中object数量
//则此宏解析完成后为，从1开始遍历直到objects这么多，其中每个object的地址均经过fixup_red_left的处理；

fixup_red_left 操作

void *fixup_red_left(struct kmem_cache *s, void *p)
{//实现上述逻辑的核心函数，将object的起始位置向后偏移red_left_pad这么大的空间，用于填充red zone数据if (kmem_cache_debug(s) && s->flags & SLAB_RED_ZONE)p += s->red_left_pad;return p;
}

init_object 初始化object结构操作

static void init_object(struct kmem_cache *s, void *object, u8 val)
{u8 *p = object;//关注这里，将上述fixup_red_left预留的空间填充上if (s->flags & SLAB_RED_ZONE) memset(p - s->red_left_pad, val, s->red_left_pad);if (s->flags & __OBJECT_POISON) {memset(p, POISON_FREE, s->object_size - 1);p[s->object_size - 1] = POISON_END;}if (s->flags & SLAB_RED_ZONE) memset(p + s->object_size, val, s->inuse - s->object_size);
}

操作完成后其实是这个样子的：

5. 核心API源码：

calculate_sizes获取到当前object的layout状态和顺序，构造其大小：

/** calculate_sizes() determines the order and the distribution of data within a slab object.*/
static int calculate_sizes(struct kmem_cache *s, int forced_order)
{unsigned long flags = s->flags;size_t size = s->object_size; // kmem_cache中的size，即obj的正常大小（8Bytes ~ 8Kbytes）int order;size = ALIGN(size, sizeof(void *));//内嵌一个free pointer的指针#ifdef CONFIG_SLUB_DEBUG //默认在kernel中打开//如果存在alloc前使用或者free后使用，则不能自己poisonif ((flags & SLAB_POISON) && !(flags & SLAB_DESTROY_BY_RCU) && !s->ctor)s->flags |= __OBJECT_POISON;elses->flags &= ~__OBJECT_POISON;//留出 red zone的空间，一个指针的大小if ((flags & SLAB_RED_ZONE) && size == s->object_size)size += sizeof(void *);
#endifs->inuse = size;//这里是如果free pointer不能内嵌到第一个word中的话，就放在这里，一个指针的大小if (((flags & (SLAB_DESTROY_BY_RCU | SLAB_POISON)) || s->ctor)) {s->offset = size;size += sizeof(void *);}#ifdef CONFIG_SLUB_DEBUGif (flags & SLAB_STORE_USER)
//tracksize += 2 * sizeof(struct track);
#endifkasan_cache_create(s, &size, &s->flags);//kasan 内存检测
#ifdef CONFIG_SLUB_DEBUGif (flags & SLAB_RED_ZONE) {//padding & red_left_padsize += sizeof(void *);s->red_left_pad = sizeof(void *);s->red_left_pad = ALIGN(s->red_left_pad, s->align);size += s->red_left_pad;}
#endif
//alignsize = ALIGN(size, s->align);s->size = size;//layout到此构建结束，后续进行order排序    if (forced_order >= 0)//正常创建进来fortced_order为-1order = forced_order;elseorder = calculate_order(size, s->reserved);//计算order大小，这个order是根据kmem_cache的size算出来的；if (order < 0)return 0;s->allocflags = 0;if (order)s->allocflags |= __GFP_COMP;if (s->flags & SLAB_CACHE_DMA)s->allocflags |= GFP_DMA;if (s->flags & SLAB_RECLAIM_ACCOUNT)s->allocflags |= __GFP_RECLAIMABLE;s->oo = oo_make(order, size, s->reserved);//根据上述order和size，构造order_objects，高16bit为order，低16bit为counts->min = oo_make(get_order(size), size, s->reserved);if (oo_objects(s->oo) > oo_objects(s->max))s->max = s->oo;return !!oo_objects(s->oo);
}

关于其layout信息查看注释即可；

init_object，在分配给到kmem_cache使用时进行init_object初始化

static void init_object(struct kmem_cache *s, void *object, u8 val)
{u8 *p = object;if (s->flags & SLAB_RED_ZONE)//是否支持slub debug功能，如支持则在实际数据前后增加padmemset(p - s->red_left_pad, val, s->red_left_pad);//这个理解为前一个obj最后的那部分padif (s->flags & __OBJECT_POISON) {//alloc之后将obj的范围标记为free，即0x6bmemset(p, POISON_FREE, s->object_size - 1);p[s->object_size - 1] = POISON_END;//最后一个bit标记为end字符，即0xa5}if (s->flags & SLAB_RED_ZONE)//inuse中的剩余部分标记为传入的val值，这里的值传入基本就是active（0xcc）和inactive（0xbb）memset(p + s->object_size, val, s->inuse - s->object_size);
}

上述magic num定义：

#define SLUB_RED_INACTIVE    0xbb
#define SLUB_RED_ACTIVE     0xcc/* ...and for poisoning */
#define POISON_INUSE    0x5a    /* for use-uninitialised poisoning */
#define POISON_FREE 0x6b    /* for use-after-free poisoning */
#define POISON_END  0xa5    /* end-byte of poisoning */

5. 附录

路径	功能
https://elixir.bootlin.com/linux/v4.9/source/include/linux/poison.h	定义poison magic num
https://elixir.bootlin.com/linux/v4.9/source/mm/slub.c://elixir.bootlin.com/linux/v4.9/source/mm/slub.c	slub源码
https://elixir.bootlin.com/linux/v4.9/source/include/linux/slab.h	定义debug 宏

参考

SLUB DEBUG原理 (wowotech.net)