[Accepted] PEP 768 - Safe external debugger interface for CPython

원문 링크: PEP 768 - Safe external debugger interface for CPython

상태: Accepted 유형: Standards Track 작성일: 25-Nov-2024

PEP 768 – CPython을 위한 안전한 외부 디버거 인터페이스

개요 (Abstract)

이 PEP는 디버거와 프로파일러가 실행 중인 Python 프로세스에 안전하게 연결할 수 있도록 CPython에 zero-overhead 디버깅 인터페이스를 추가할 것을 제안합니다. 이 인터페이스는 인터프리터의 정상적인 실행 경로를 수정하거나 런타임 오버헤드를 추가하지 않고도 디버거 코드를 연결하기 위한 안전한 실행 지점들을 제공합니다.

이 인터페이스의 핵심 응용 프로그램은 gdb -p <pid>와 유사하게 pdb가 프로세스 ID로 라이브 프로세스에 연결할 수 있도록 하는 것입니다. 이를 통해 개발자는 Python 애플리케이션을 중지하거나 다시 시작하지 않고도 실시간으로 대화식으로 검사하고 디버깅할 수 있습니다.

동기 (Motivation)

프로덕션 및 라이브 환경에서 Python 프로세스를 디버깅하는 것은 고유한 문제들을 제시합니다. 개발자들은 서비스를 중지하거나 다시 시작하지 않고도 애플리케이션 동작을 분석해야 하는 경우가 많으며, 이는 고가용성(high-availability) 시스템에 특히 중요합니다. 일반적인 시나리오에는 교착 상태(deadlocks) 진단, 메모리 사용량 검사, 또는 예상치 못한 동작을 실시간으로 조사하는 것이 포함됩니다.

실행 중인 프로세스에 연결할 수 있는 Python 도구는 거의 없습니다. 주로 이 작업이 운영 체제 디버깅 인터페이스와 CPython 내부 구조에 대한 깊은 전문 지식을 요구하기 때문입니다. GDBLLDB와 같은 C/C++ 디버거는 잘 알려진 기술을 사용하여 프로세스에 연결할 수 있지만, Python 도구는 이러한 모든 저수준 메커니즘을 구현하고 추가적인 복잡성을 처리해야 합니다.

기존의 DebugPyMemray 같은 도구들은 GDBLLDB와 같은 시스템 디버거를 사용하여 코드를 강제로 주입하는 안전하지 않은 방법을 사용합니다. 이 방법은 코드가 인터프리터의 실행 주기 중 언제든지 실행될 수 있으므로 근본적으로 안전하지 않습니다. 이는 메모리 할당, 가비지 컬렉션, 스레드 상태 관리와 같은 중요한 작업 중에도 발생할 수 있으며, 시스템 충돌이나 인터프리터 상태 손상을 야기할 수 있습니다.

다양한 도구들이 복잡한 해결 방법(예: 주입된 코드를 위한 별도의 스레드 생성, 작업 시간 신중하게 조절)을 통해 이러한 위험을 최소화하려 하지만, 인터프리터와의 협력 없이는 코드를 실행하는 것이 안전한지 알 수 없기 때문에 근본적인 문제를 완전히 해결할 수 없습니다.

이론적 근거 (Rationale)

안전하지 않은 코드 주입으로 인해 도구가 인터프리터의 한계를 우회하도록 강제하는 대신, 우리는 안전한 실행을 보장하는 적절한 디버깅 인터페이스를 CPython에 확장할 수 있습니다. 몇 가지 스레드 상태 필드를 추가하고 인터프리터의 기존 평가 루프와 통합함으로써, 디버깅 작업이 잘 정의된 안전한 지점에서만 발생하도록 할 수 있습니다. 이를 통해 정상 실행 중에는 zero overhead를 유지하면서 충돌 및 손상 가능성을 제거합니다.

핵심은 임의의 지점에 코드를 주입할 필요가 없다는 것입니다. 다음 안전한 기회에 코드가 실행되기를 원한다는 것을 인터프리터에 알리기만 하면 됩니다. 이 접근 방식은 인터프리터의 자연스러운 실행 흐름과 협력하는 것입니다.

이 아이디어는 PyPy 개발팀에도 설명되었으며, 이미 PyPy에 구현되어 타당성과 효과가 입증되었습니다. PyPy의 구현은 정상 실행 중 zero runtime overhead로 안전한 디버깅 기능을 제공할 수 있음을 보여줍니다.

명세 (Specification)

이 제안은 외부 프로세스가 잘 정의된 안전한 지점에서 Python 인터프리터 내에서 코드 실행을 트리거할 수 있도록 하는 안전한 디버깅 메커니즘을 도입합니다. 핵심은 시스템 디버거를 통해 코드를 직접 주입하는 대신, 인터프리터의 기존 평가 루프와 스레드 상태를 활용하여 디버깅 작업을 조율한다는 것입니다.

메커니즘은 디버거가 대상 프로세스의 특정 메모리 위치에 쓰기를 수행하고, 인터프리터는 정상 실행 주기 동안 이를 확인합니다. 인터프리터가 디버거가 연결하려고 한다는 것을 감지하면, 내부 잠금이 유지되지 않고 모든 데이터 구조가 일관된 상태인 “안전한 시점”에만 요청된 작업을 실행합니다.

런타임 상태 확장 (Runtime State Extensions)

원격 디버깅을 지원하기 위해 PyThreadState에 새로운 구조체가 추가됩니다.

typedef struct {
    int debugger_pending_call;
    char debugger_script_path[...];
} _PyRemoteDebuggerSupport;

이 구조체는 PyThreadState에 추가되며, 정상 실행 중에는 절대 접근되지 않는 몇 개의 필드만 추가합니다. debugger_pending_call 필드는 디버거가 실행을 요청했음을 나타내고, debugger_script_path는 인터프리터가 안전한 지점에 도달했을 때 실행될 Python 소스 파일(.py)의 파일 시스템 경로를 제공합니다.

debugger_script_path의 크기는 바이너리 크기와 디버깅 스크립트 경로의 최대 길이에 따라 결정됩니다. 스레드당 메모리 오버헤드를 제한하기 위해 512바이트로 제한되며, 이 값은 디버거 지원 구조체의 일부로 제공되어 디버거가 얼마나 쓸 수 있는지 알 수 있도록 합니다.

디버그 오프셋 테이블 (Debug Offsets Table)

Python 3.12는 PyRuntime 구조체의 시작 부분에 debug offsets table을 도입했습니다. 이 섹션에는 외부 도구가 ASLR 또는 Python이 컴파일된 방식과 관계없이 중요한 런타임 구조체를 안정적으로 찾을 수 있도록 하는 _Py_DebugOffsets 구조체가 포함되어 있습니다.

이 제안은 기존 디버그 오프셋 테이블을 디버거 지원을 위한 새로운 필드로 확장합니다.

struct _debugger_support {
    uint64_t eval_breaker;                // eval breaker 플래그의 위치
    uint64_t remote_debugger_support;     // 지원 구조체로의 오프셋
    uint64_t debugger_pending_call;       // pending 플래그를 쓸 위치
    uint64_t debugger_script_path;        // 스크립트 경로를 쓸 위치
    uint64_t debugger_script_path_size;   // 스크립트 경로 버퍼의 크기
} debugger_support;

이러한 오프셋은 디버거가 대상 프로세스의 메모리 공간에서 중요한 디버깅 제어 구조체를 찾을 수 있도록 합니다.

연결 프로토콜 (Attachment Protocol)

디버거가 Python 프로세스에 연결하려 할 때 다음 단계를 따릅니다.

  1. 프로세스에서 PyRuntime 구조체 찾기:
    • 프로세스 메모리에서 Python 바이너리(실행 파일 또는 libpython)를 찾습니다.
    • 바이너리 형식(ELF/Mach-O/PE)에서 .PyRuntime 섹션 오프셋을 추출합니다.
    • 오프셋을 바이너리의 로드 주소로 재배치하여 실행 중인 프로세스에서 실제 PyRuntime 주소를 계산합니다.
  2. PyRuntime 구조체 시작 부분에 있는 _Py_DebugOffsets를 읽어 디버그 오프셋 정보에 접근합니다.
  3. 오프셋을 사용하여 원하는 스레드 상태를 찾습니다.
  4. 오프셋을 사용하여 해당 스레드 상태 내의 디버거 인터페이스 필드를 찾습니다.
  5. 제어 정보 쓰기:
    • 대부분의 디버거는 메모리에 쓰기 전에 프로세스를 일시 중지합니다.
    • _PyRemoteDebuggerSupportdebugger_script_path 필드에 Python 소스 파일(.py)의 파일 경로를 씁니다.
    • _PyRemoteDebuggerSupportdebugger_pending_call 플래그를 1로 설정합니다.
    • eval_breaker 필드에 _PY_EVAL_PLEASE_STOP_BIT를 설정합니다.

인터프리터가 다음 안전한 지점에 도달하면, 디버거가 지정한 파일에 포함된 Python 코드를 실행할 것입니다.

인터프리터 통합 (Interpreter Integration)

인터프리터의 일반적인 평가 루프는 이미 신호, 주기적인 작업 및 기타 인터럽트 처리를 위해 eval_breaker 플래그를 확인합니다. 우리는 eval_breaker가 설정되었을 때만 디버거의 대기 중인 호출을 확인하여 이 기존 메커니즘을 활용하며, 정상 실행 중에는 zero overhead를 보장합니다.

디버거가 eval_breaker 플래그와 debugger_pending_call을 모두 설정하면, 인터프리터는 다음 안전한 지점에서 제공된 디버깅 코드를 실행할 것입니다. eval breaker가 확인될 때마다 인터프리터가 일관된 상태임을 보장하므로, 이 모든 과정은 완전히 안전한 컨텍스트에서 발생합니다.

코드 실행 전에 감사 이벤트(audit event)가 발생하여, 시스템 관리자가 원할 경우 이 메커니즘을 감사하거나 비활성화할 수 있습니다.

// ceval.c에서
if (tstate->eval_breaker) {
    if (tstate->remote_debugger_support.debugger_pending_call) {
        tstate->remote_debugger_support.debugger_pending_call = 0;
        const char *path = tstate->remote_debugger_support.debugger_script_path;
        if (*path) {
            if (0 != PySys_Audit("debugger_script", "%s", path)) {
                PyErr_Clear();
            } else {
                FILE* f = fopen(path, "r");
                if (!f) {
                    PyErr_SetFromErrno(OSError);
                } else {
                    PyRun_AnyFile(f, path);
                    fclose(f);
                }
                if (PyErr_Occurred()) {
                    PyErr_WriteUnraisable(...);
                }
            }
        }
    }
}

실행 중인 코드가 Python 예외를 발생시키면, 해당 코드가 실행된 스레드에서 unraisable exception으로 처리됩니다.

Python API

모든 도구에서 이 모든 단계를 다시 구현할 필요 없이 원격 프로세스에서 Python 코드를 안전하게 실행할 수 있도록, 이 제안은 sys 모듈을 새로운 함수로 확장합니다.

def remote_exec(pid: int, script: str|bytes|PathLike) -> None:
    """
    주어진 원격 Python 프로세스에서 Python 코드를 포함하는 파일을 실행합니다.
    이 함수는 즉시 반환되며, 코드는 신호 처리와 유사하게 대상 프로세스의 주 스레드에서
    다음 사용 가능한 기회에 실행됩니다. 코드가 언제 실행되었는지 확인할 수 있는 인터페이스는 없습니다.
    호출자는 원격 프로세스가 파일을 읽으려고 할 때 파일이 여전히 존재하고
    덮어쓰여지지 않았는지 확인할 책임이 있습니다.
    Args:
        pid (int): 대상 Python 프로세스의 프로세스 ID.
        script (str|bytes|PathLike): 실행할 Python 코드가 포함된 파일의 경로.
    """

API 사용 예시는 다음과 같습니다.

import sys
import uuid

# PID 12345인 원격 Python 프로세스에서 print 문 실행
script = f"/tmp/{uuid.uuid4()}.py"
with open(script, "w") as f:
    f.write("print('Hello from remote execution!')")
try:
    sys.remote_exec(12345, script)
except Exception as e:
    print(f"Failed to execute code: {e}")

구성 API (Configuration API)

재배포자, 시스템 관리자 또는 사용자가 이 메커니즘을 비활성화할 수 있도록, 인터프리터의 동작을 제어하는 몇 가지 방법이 제공됩니다.

  • 새로운 환경 변수 PYTHON_DISABLE_REMOTE_DEBUG는 런타임 시 동작을 제어합니다. 어떤 값으로든 설정되면 (빈 문자열 포함), 인터프리터는 이 메커니즘을 사용한 디버거 연결 시도를 무시합니다.
  • python 인터프리터에 새로운 플래그 -X disable-remote-debug가 추가되어 사용자가 런타임에 이 기능을 비활성화할 수 있습니다.
  • configure 스크립트에 새로운 플래그 --without-remote-debug가 추가되어 재배포자가 원격 디버깅 지원 없이 Python을 빌드할 수 있습니다.
  • 원격 디버깅 상태를 나타내는 새로운 플래그가 디버그 오프셋을 통해 제공되어, 도구가 원격 프로세스에서 이 기능이 비활성화되었는지 쿼리할 수 있도록 합니다.

다중 스레딩 고려 사항 (Multi-threading Considerations)

전반적인 실행 패턴은 Python이 내부적으로 신호를 처리하는 방식과 유사합니다. 인터프리터는 주입된 코드가 인터프리터 내의 원자적(atomic) 작업을 중단하지 않고 항상 안전한 지점에서만 실행되도록 보장합니다. 이 접근 방식은 디버깅 작업이 인터프리터 상태를 손상시키지 않으면서도 대부분의 실제 시나리오에서 적시에 실행을 제공합니다.

그러나 이 인터페이스를 통해 주입된 디버깅 코드는 모든 스레드에서 실행될 수 있습니다. 이는 신호 핸들러가 주 스레드에서만 실행될 수 있는 Python의 신호 처리 방식과 다릅니다. 디버거가 모든 실행 중인 스레드에 코드를 주입하려면 각 PyThreadState에 주입해야 합니다.

주입된 코드가 실행될 때 Global Interpreter Lock (GIL)은 평소와 같이 실행을 제어합니다. 이 인터페이스는 주입된 코드 자체에 필요한 것 외에 추가적인 GIL 경쟁을 유발하지 않습니다. 또한, 이 인터페이스는 Python의 free-threaded mode와도 완전히 호환됩니다.

하위 호환성 (Backwards Compatibility)

이 변경사항은 기존 Python 코드나 인터프리터 성능에 영향을 미치지 않습니다. 추가된 필드는 디버거 연결 중에만 접근되며, 확인 메커니즘은 기존 인터프리터의 안전 지점을 활용합니다.

보안 영향 (Security Implications)

이 인터페이스는 새로운 보안 문제를 도입하지 않습니다. 왜냐하면 이 인터페이스는 이미 주어진 프로세스 내의 임의 메모리에 쓰기 권한을 가지고 있고, (실행될 Python 코드를 포함하는 파일을 생성하기 위해) 해당 머신에서 임의 코드를 실행할 수 있는 프로세스만 사용할 수 있기 때문입니다.

또한, 코드 실행은 인터프리터의 감사 훅(audit hooks)에 의해 제어되며, 이는 민감한 환경에서 코드 실행을 모니터링하거나 방지하는 데 사용될 수 있습니다.

기존 운영 체제 보안 메커니즘은 공격자가 임의 메모리 쓰기 접근 권한을 획득하는 것을 막는 데 효과적입니다. 이 PEP는 메모리를 대상 프로세스에 쓰는 방법을 명시하지 않지만, 실제로는 GDB, LLDB 및 다양한 시스템 프로파일러와 같은 다른 디버거 및 도구에서 이미 사용되는 표준 시스템 호출을 통해 이루어질 것입니다.

모든 메커니즘은 다음을 보장합니다.

  • 권한 있는 프로세스만 메모리를 읽고 쓸 수 있습니다.
  • 기존 디버거 연결을 제어하는 것과 동일한 보안 모델이 적용됩니다.
  • OS가 디버깅을 위해 이미 제공하는 것 외에 추가적인 공격 표면은 노출되지 않습니다.
  • 공격자가 임의 메모리에 쓸 수 있더라도, 파일 시스템 접근 권한이 없다면 임의 코드 실행으로 에스컬레이션할 수 없습니다.

교육 방법 (How to Teach This)

도구 개발자(tool authors)의 경우, 이 인터페이스는 안전하지 않은 시스템 디버거 접근 방식을 대체하는 표준 디버거 연결 구현 방법이 됩니다. Python 개발자 가이드의 한 섹션에서 debugger_support 오프셋 및 시스템 API를 사용하여 상호 작용하는 방법을 포함하여 메커니즘의 내부 작동을 설명할 수 있습니다.

최종 사용자(end users)는 이 인터페이스를 알 필요가 없으며, 개선된 디버깅 도구의 안정성과 신뢰성으로부터만 혜택을 받습니다.

참고 구현 (Reference Implementation)

pdb에 원격 지원을 추가하는 프로토타입을 포함한 참고 구현은 여기에서 찾을 수 있습니다.

거부된 아이디어 (Rejected Ideas)

버퍼에 Python 코드 직접 작성 (Writing Python code into the buffer)

디버거가 Python 코드가 포함된 파일의 경로를 원격 프로세스의 버퍼에 쓰는 방법을 선택했습니다. 이는 실행될 Python 코드 자체를 원격 프로세스의 버퍼에 쓰는 것보다 더 안전하다고 판단되었습니다.

그러나 이는 연결하는 디버거가 실행될 코드를 포함하는 파일을 생성할 때 파일 시스템 권한에 세심한 주의를 기울여야 합니다. 공격자가 파일을 덮어쓰거나, 파일 경로의 심볼릭 링크(symlink)를 공격자가 제어하는 곳으로 교체할 수 있다면, 디버거가 실행하려는 코드 대신 악성 코드가 강제로 실행될 수 있습니다.

단일 런타임 버퍼 사용 (Using a Single Runtime Buffer)

이 PEP 검토 과정에서 모든 디버거 통신을 위해 런타임 수준에서 단일 공유 버퍼를 사용하는 것이 제안되었습니다. 이는 더 간단하고 적은 메모리를 요구하는 것처럼 보였지만, 여러 디버거가 다른 스레드에서 작업을 조율해야 하거나 단일 디버거가 복잡한 디버깅 작업을 조율해야 하는 시나리오를 방해한다는 것을 발견했습니다. 단일 공유 버퍼는 모든 디버깅 작업을 직렬화(serialization)하게 만들어, 디버거가 다른 스레드에서 독립적으로 작동하는 것을 불가능하게 합니다.

스레드별 버퍼 접근 방식은 고도로 스레드화된 애플리케이션에서 메모리 오버헤드가 발생하지만, 각 디버거가 대상 스레드와 독립적으로 통신할 수 있도록 하여 이러한 중요한 디버깅 시나리오를 가능하게 합니다.

⚠️ 알림: 이 문서는 AI를 활용하여 번역되었으며, 기술적 정확성을 보장하지 않습니다. 정확한 내용은 반드시 원문을 확인하시기 바랍니다.

Comments