编者按:本任务由字节跳动、深信服以及阅码场资深用户发起,阅码场需要招募有兴趣完成如下任务的共同参与者,文章将会署名发布到某会议。此外,会书出一些列文章通过阅码场发表。有兴趣参与的用户,加群申请(WX:yufeipu)。
Linux涉及安全增强的配置项非常多, 主要有92个,涵盖从内存保护到访问控制的各个方面。根据内核版本的不同,具体的安全增强配置项数量可能会略有差异,但一般都在数十个到上百个之间。这些配置项可以通过修改内核配置文件(.config)来进行配置。在一些Linux发行版中,可以通过命令行工具(如make menuconfig、make xconfig、make gconfig等)来打开内核配置界面,方便用户进行配置。配置时需要根据自己的实际需求选择相应的选项,有些选项需要硬件支持,需要先了解自己的硬件环境。
【资料图】
以下列举一些常见的Linux安全增强配置项, 根据其功能分为:
Stack Protector:Stack Protector是一种针对缓冲区溢出攻击的防御技术,它的实现是通过在函数的栈帧中插入一个特殊的随机数值(称为"Canary"), 在函数返回之前检查这个随机数值是否被破坏,如果被破坏则认为发生了缓冲区溢出攻击,程序将会异常终止。Canary 是在函数调用时生成的,它的值是一个随机数,并被保存在栈帧中。Linux内核中与stack canary相关的配置项主要有三个,分别是:
2. Memory Encryption:在内存中存储加密的数据,防止机密信息泄漏。这需要硬件支持(如Intel的Memory Encryption Technology)来实现。相关的Linux configuration选项包CONFIG_AMD_MEM_ENCRYPT是AMD平台的内存加密支持。CONFIG_EFI_SECURE_BOOT_SIG_ENFORCE:启用EFI Secure Boot签名强制执行,以防止未经授权的内核和模块加载。CONFIG_ENCRYPTED_KEYS:启用支持在内存中存储加密的密钥。CONFIG_CRYPTO_XTS:启用XTS模式的加密算法,这是一种用于块设备加密的加密模式,也可以用于内存加密。CONFIG_SECURITY_DMESG_RESTRICT:限制dmesg的访问,以防止泄漏敏感信息。
3. 地址空间随机化: 地址空间随机化包括ASLR和KASLR。ASLR(地址空间随机化):随机化用户空间程序的内存布局,增加攻击者猜测攻击点的难度。KASLR(内核地址空间随机化):随机化内核地址空间的布局,使攻击者更难以定位内核代码和数据的位置。
4. MMU 和 IOMMU: 管理内存访问并提供内存隔离安全性。Page and page table Isolation
5. Spectre/Meltdown Protection:一些针对Spectre和Meltdown漏洞的修复措施,可以防止攻击者利用这些漏洞读取敏感信息。
6. Privileged Access Never:限制操作系统内核的代码和数据只能在用户态下访问,防止恶意代码通过内核攻击访问敏感信息和特权资源。比如Intel的Control-flow EnforcementTechnology(CET), 和 ARM的Pointer Authentication Code(PAC)。
7. User Access Override: 它是Intel x86架构中一项用于内存访问控制的硬件特性。UAO允
许特权级别较低的用户程序直接读取或写入特权级别较高的内存地址,绕过了传统的内存保护机制。为了避免UAO带来的安全问题,现代操作系统通常禁用或限制用户程序的UAO访问权限。在Linux系统中,管理员可以通过设置内核参数来启用或禁用UAO功能,以适应不同的使用场景和安全需求。例如,可以通过设置"uao=never"来完全禁用UAO,或者通过设置"uao=auto"来根据硬件和系统配置自动选择是否启用UAO。
8. Execute-only memory:一种内存保护技术,它可以将某些内存区域设置为只允许执行代码而不允许读取或写入。这种技术可以防止某些攻击者通过读取内存中的机密信息或向内存写入恶意代码来破坏系统安全。
9. Capability: 对内核的functionality进行隔离。
10. 安全增强型Linux (DAC MAC):一个强制访问控制框架,可以限制进程的权限,防止未经授权的访问和攻击。
11. Control Groups:限制进程使用的系统资源,如CPU、内存和网络带宽等,防止资源耗尽和拒绝服务攻击。
12. Seccomp:用于限制进程能够执行的系统调用和参数,以减少攻击面。
13. Namespace: 用于container的视图隔离。
14. Confidential computing: 用于支持各种TEE配置。
参考资料:
【1】Linux 内核设备驱动数据库(Linux Kernel Driver DataBase)
https://cateee.net/lkddb/web-lkddb/
Task:
1. 针对每一类安全增强配置项, 整理文档并reorg, 发一篇blog
a. 针对每一类安全增强配置项,找到对应的config
b. 针对每一类安全增强配置项,详细解释config的用途(on or off,从第几个kernel
version开始有支持,什么arch上才有,如何进行系统配置, 如何进行应用程序配
置),和功能
c. 针对每一个config, 找到源码,做源码解读
2. 整理所有文档并reorg, 整理成文章格式
3. 投稿并修改
标签:
据彭博社5月31日报道,万达集团计划以10亿元人民币(约合1 41亿美元)出售其数字支付牌照,正在与包括字节
当月要点:1、拿地总额同比下降8 4%,降幅近一步收窄2、城市选择高度集中,民营房企加速回归3、从各城市群
5月31日北向资金增持20 22万股招商港口。近5个交易日中,获北向资金减持的有2天,累计净减持2 08万股。近20
1、一般有以下几种帐户:基本户。2、企业必须开基本户,否则不能开其他银行帐户,基本户可以存取现金、划
1、Aninter-miningMingyueforyourviewing,weaveacoolautu
来为大家解答以下的问题,面石膏板防火等级耐火时间,纸面石膏板防火等级这个很多人还不知道,现在让我们一
5月31日,国家统计局服务业调查中心和中国物流与采购联合会公布的数据显示,5月制造业采购经理指数(PMI)
马斯克又来上海了。上证报记者获悉,5月31日晚间,特斯拉CEO埃隆& 183;马斯克(ElonMusk)按计划抵达上海。
直播吧5月31日讯据意大利记者罗马诺透露,吉达联合为本泽马开出接近1亿欧的年薪,皇马正等待球员做出决定。
新华社杭州5月31日电(记者顾小立)记者31日从浙江省经信厅获悉,浙江将加快推进5G全连接工厂建设,进一步
同一部智能手机对于有着不同需求的使用者来说,意义可能大不相同。职场人心目中的理想型智能手机,应该是在
1、建议你不要买长安车,长安车怠速不好治。2、水温高也不好治,另外长安车便宜。3、建议你买车之前也去看
1,云南有许多不知名但却非常美的小城,这需要你去发现,而不是只要提起云南就是大理丽江,烦死了。老实说
澳大利亚昆士兰大学MBA秋季学期,申请截止于每年5月31日左右。春季学期,申请截止于每年11月30日左右。需要
《乘风2023》成团夜时间曝光,复活赛时间已定,3位姐姐有望复活,陈冰,复活赛,汪小敏,许靖韵,李莎旻子,乘风2023
这个是没有准确答案的,要根据自己的实际需求和经济能力来决定。江城安心保和百万医疗险都是比较优秀的医疗
现代快报网是由凤凰出版传媒集团旗下的现代快报倾力打造的江苏新闻门户网站,目前在南京、苏州、无锡、常州
含饴弄孙,颐养天年,这是很多退休老人的选择。可在江西省南昌市进贤县前坊镇太平村西湖李家村,有四位退休
前不久,万州区钟鼓楼街道棉花地社区多个小区停车难问题得以化解,楼院停车有序了、出行也方便了、邻里更和
迈尔斯为勇士王朝的建立付出了巨大的努力迈尔斯的离职对于勇士队而迈尔斯则不同除了在体育行业最受追捧之外
X 关闭
X 关闭