如何用一行命令让Systemd崩溃

以任何一个用户运行下面的命令行，都会让systemd崩溃：

运行这行命令后，PID 1将在系统调用pause这里挂起，再也不能启动或停止后台程序。inetd-style服务不再接受任何连接。你也不能干净地重启系统，系统一般会感觉不稳定（例如，从systemd与登录系统集成后，ssh和su处于30秒的假死状态）。短的可以写在一条Tweet里的命令就会导致以上所有情况。

这个bug非常普通。上述的systemd-notify 命令向位于/run/systemd/notify的全局UNIX域socket发送一个长度为零的消息。PID 1接收到这条消息，并且断言（消息长度大于0）判断为错误。尽管这个这个bug非常普通，但却非常严重，它允许任何本地用户很轻松的向关键的系统组件通过拒绝服务的方式发起攻击。

立即有人提出关于这个bug的疑问：是什么样的质量保证过程能使如此简单的bug生存了两年以上（这个bug在systemd 209就被引入了）。难道这个空串不是一个很明显的测试用例吗？有人希望最重要的用户空间进程PID 1能得到更好的质量保证。不幸的是，按照浏览systemd提交日志的情况来看，PID1的崩溃似乎并不罕见，比如：

• coredump：仅在PID 1崩溃时关闭coredump，而不是journald崩溃时

• coredump: 确保以不同的方式处理PID 1 崩溃和journald崩溃

• corddump：当journald或PID 1崩溃时彻底关闭coredump采集

Systemd出问题远不止是一个bug。Systemd的设计本来就有缺陷，要写出没有bug的软件及其困难。即使是优秀的程序员也不可避免在systemd这样的规模和复杂程度的项目中带入缺陷。然而，一旦优秀的程序员意识到了编写没有bug的软件的困难性，也就懂得了另外一种重要性，即在设计软件时降低bug发生的可能性或至少减少bug带来的影响。但是systemd的开发者没理解这一点，他们选择了用大量不必要的复杂内容填入到PID 1，并作为root用户运行，同时还采用了一种内存不安全的语言编写。

一定的复杂性是意料之中的，因为systemd提供了一些有用和有说服力的功能（尽管这些功能不是由systemd发明，但由它推广的）。systemd是否取得了功能性与复杂性之间的适当权衡，关于这一点还存在争议。但可以确认的是，systemd的复杂性不应该由PID 1来解决。正如 Rich Felker 所解释的， PID 1的唯一工作就是执行实际的init系统，并接管僵尸进程。除此之外，实际的init系统即使作为非PID 1进程运行时，也应以模块化的方式构造，使得某个高风险部件的故障不会影响更关键的部件。例如，守护管理相关代码出现的故障不应影响系统的正常重启。

特别的，对从不可信来源接收信息的任何代码都应在专用的进程中并作为非特权用户运行，比如systemd-notify 。无特权的进程在将消息向特权进程传递之前应分析并验证信息。这就是所谓的特权分离，这已在安全感知软件中良好地实践了十多年。相比之下，Systemd解析来自不受信任来源的消息，由C写成，并在PID 1以root身份运行。如果你觉得systemd不需要特权分离，因为它只解析来自本地用户的消息，但请记住，在互联网时代，本地攻击往往会获得远程载体。 考虑一下 Shellshock, 还有今年的systemd会议中名为 "从Web浏览器谈到systemd"的演示。