CANN/shmem安全声明

安全声明【免费下载链接】shmemCANN SHMEM 是面向昇腾平台的多机多卡内存通信库基于OpenSHMEM 标准协议实现跨设备的高效内存访问与数据同步。项目地址: https://gitcode.com/cann/shmem安全加固加固须知本文中列出的安全加固措施为基本的加固建议项。用户应根据自身业务重新审视整个系统的网络安全加固措施。用户应按照所在组织的安全策略进行相关配置包括并不局限于软件版本、口令复杂度要求、安全配置协议、加密套件、密钥长度等 权限配置、防火墙设置等。必要时可参考业界优秀加固方案和安全专家的建议。通信矩阵组件tcp store源设备tcp client源IPdevice IP源端口操作系统自动分配分配范围由操作系统的自身配置决定目的设备tcp server目的IP设备地址IP目的端口侦听用户指定端口号1025~65535协议TCP端口说明server与client TCP协议消息接口侦听端口是否可更改是认证方式数字证书认证加密方式TLS 1.3所属平面管理面版本所有版本特殊场景无说明 支持通过接口aclshmemx_set_conf_store_tls配置TLS秘钥证书等进行tls安全连接建议用户开启TLS加密配置保证通信安全。系统启动后建议删除本地密钥证书等信息敏感文件。调用该接口时传入的文件路径不能包含英文分号、逗号、冒号。 支持通过环境变量ACCLINK_CHECK_PERIOD_HOURS和ACCLINK_CERT_CHECK_AHEAD_DAYS配置证书检查周期与证书过期预警时间使用接口示例// 配置关闭tls: aclshmemx_set_conf_store_tls(false, nullptr, 0); // 配置打开tls: char *tls_info \ tlsCaPath: /etc/ssl/certs/; \ tlsCert: /etc/ssl/certs/server.crt; \ tlsPk: /etc/ssl/private/server.key; \ tlsPkPwd: /etc/ssl/private/key_pwd.txt; \ tlsCrlPath: /etc/ssl/crl/; \ tlsCrlFile: server_crl1.pem,server_crl2.pem;\ tlsCaFile: ca.pem1,ca.pem2; \ packagePath: /etc/lib int32_t ret aclshmemx_set_conf_store_tls(true, tls_info, strlen(tls_info));环境变量说明SHMEM_LOG_LEVELshmem日志级别SHMEM_HOME_PATHshmem安装路径VERSION编译whl包默认版本号ASCEND_RT_VISIBLE_DEVICES指定哪些Device对当前进程可见支持一次指定一个或多个Device ID。通过该环境变量可实现不修改应用程序即可调整所用Device的功能。SHMEM_CYCLE_PROF_PE用于设置需要进行Profiling采集的pepe_id设置范围【0PEs-1】需要取消采集请unset SHMEM_CYCLE_PROF_PE运行用户建议root是Linux系统中的超级特权用户具有所有Linux系统资源的访问权限。如果允许直接使用root账号登录Linux系统对系统进行操作会带来很多潜在的安全风险。通常情况下建议将在“/etc/ssh/sshd_config”文件中将“PermitRootLogin”参数设置为“no”设置后root用户无法通过SSH登录到系统增加了系统的安全性。如果需要使用root权限进行管理操作可以通过其他普通用户登录系统后再使用su或sudo命令切换到root用户进行操作。这样可以避免直接使用root用户登录系统从而减少系统被攻击的风险。出于安全性及权限最小化角度考虑不建议使用root等管理员类型账户使用shmem。文件权限控制建议用户在主机包括宿主机及容器中设置运行系统umask值为0027及以上保障新增文件夹默认最高权限为750新增文件默认最高权限为640。建议用户对个人隐私数据、商业资产、源文件和算子开发过程中保存的各类文件等敏感内容做好权限控制等安全措施。例如涉及本项目安装目录权限管控、输入公共数据文件权限管控设定的权限建议参考A-文件夹各场景权限管控推荐最大值。用户安装和使用过程需要做好权限控制建议参考A-文件夹各场景权限管控推荐最大值文件权限参考进行设置。构建安全声明在源码编译安装本项目时需要您自行编译编译过程中会生成一些中间文件建议您在编译完成后对中间文件做好权限控制以保证文件安全。运行安全声明建议用户结合运行环境资源状况编写对应算子调用脚本。若算子调用脚本与资源状况不匹配如生成输入数据或标杆计算结果使用空间超出内存容量限制、脚本在本地保存数据超过磁盘空间大小等情况可能会引发错误并导致进程意外退出。算子在运行异常时会退出进程并打印报错信息建议根据报错提示定位具体错误原因包括设定算子同步执行、查看日志文件等方式。算子通过PyTorch方式调用时可能会因为版本不匹配导致运行错误具体请参考PyTorch安全声明。内存地址随机化机制安全加固ASLRaddress space layout randomization开启后能增强漏洞攻击防护能力建议用户将/proc/sys/kernel/randomize_va_space里面的值设置为2开启该功能。公网地址声明本项目代码中包含的公网地址声明如下所示类型开源代码地址文件名公网IP地址/公网URL地址/域名/邮箱地址/压缩文件地址用途说明依赖不涉及build.shhttps://gitcode.com/cann/catlass.git从gitcode下载catlass源码作用编译依赖依赖https://github.com/doxygenbuild.shhttps://github.com/doxygen/doxygen/releases/download/Release_1_9_6/doxygen-1.9.6.src.tar.gz从github下载doxygen-1.9.6源码作用编译依赖依赖不涉及build.shhttps://gitcode.com/GitHub_Trending/go/googletest从gitcode下载googletest源码单元测试框架依赖文档不涉及shmemi_device_barrier.hhttps://www.inf.ed.ac.uk/teaching/courses/ppls/BarrierPaper.pdf并行编程语言和系统漏洞机制说明漏洞管理附录A-文件夹各场景权限管控推荐最大值类型Linux权限参考最大值用户主目录750rwxr-x---程序文件(含脚本文件、库文件等)550r-xr-x---程序文件目录550r-xr-x---配置文件640rw-r-----配置文件目录750rwxr-x---日志文件(记录完毕或者已经归档)440r--r-----日志文件(正在记录)640rw-r-----日志文件目录750rwxr-x---Debug文件640rw-r-----Debug文件目录750rwxr-x---临时文件目录750rwxr-x---维护升级文件目录770rwxrwx---业务数据文件640rw-r-----业务数据文件目录750rwxr-x---密钥组件、私钥、证书、密文文件目录700rwx—----密钥组件、私钥、证书、加密密文600rw-------加解密接口、加解密脚本500r-x------【免费下载链接】shmemCANN SHMEM 是面向昇腾平台的多机多卡内存通信库基于OpenSHMEM 标准协议实现跨设备的高效内存访问与数据同步。项目地址: https://gitcode.com/cann/shmem创作声明：本文部分内容由AI辅助生成（AIGC），仅供参考