Linux 5.13版增加了对每个系统调用的堆栈偏移量随机化的支持
Linux 5.13中的一个新的安全特性是在每次系统调用时随机化内核堆栈偏移的能力。这一可选的功能现在已经成为主流。随机化每个系统调用的内核堆栈偏移是为了使流氓行为者对Linux内核进行基于堆栈的攻击更具挑战性。
这项工作已经进行了两年多,其灵感来自于PaX的 "RANDKSTACK "功能,但实际实现时采取了不同的方法。简单地说,在每次系统调用时对内核堆栈的随机化是为了抵御依赖于内核堆栈确定性的攻击。
在启动时,可以通过randomize_kstack_offset=参数切换该功能,开/关取决于需要的行为。
启用这个 randomize_kstack_offset 功能,预计至少会对某些工作负载产生 1% 的性能影响,但目前情况未知,要等一些涉及开/关的基准测试结果出现后才会明确。
关于每个系统调用随机化内核堆栈功能的更多细节,可以通过Linux 5.13的这个拉动请求找到:
http://lkml.iu.edu/hypermail/linux/kernel/2104.3/01302.html
相关文章:
Linux 5.13合并窗口拉开序幕:微软Surface改进、技嘉WMI驱动……
对苹果M1的初步支持如约在Linux 5.13内核中出现
Linux 5.13电源管理与ACPI更新已提交