close
(來自:git.Kernel.org)
據悉,該代碼最初受到瞭 PaX 的 RANDKSTACK 功能的啟發,旨在增強內核安全性、以阻止依賴內核堆棧確定性的漏洞利用。
谷歌工程師 Kees Cook 最終接手瞭這項工作,並且經歷瞭十輪的代碼審查,該代碼似乎已經部署到瞭 Linux 5.13 內核補丁中。
具體說來是,這項工作允許在每個系統調用時,隨機選擇內核堆棧的偏移量。比如在啟用 randomize_kstack_offset= 命令選項時,便可為 ARM64 和 x86_64 CPU 指定 on / off 值。
得益於在每次系統調用時都分配瞭隨機的內核堆棧偏移量,該功能可在啟用後讓基於堆棧的攻擊執行變得更加困難。
不過在默認情況下,這項特性仍處於關閉的狀態。因為即便在 x86_64 平臺上,該選項仍會造成約 1% 的系統資源開銷。
感興趣的朋友,可留意周四入列 tip.git 的 x86 / entry 補丁分支。如果一切順利,我們有望在本月晚些時候的 Linux 5.13 合並窗口之後,看到相關代碼被正式納入主線內核。
全站熱搜
留言列表
