Linux 6.7 内核的加固更新带来了一个新的加固配置文件,以帮助建立一个具有一些合理默认值的安全加固内核。作为本周合并的 Linux 6.7 内核加固更新的一部分,现在有一个 Kconfig 片段,其中包含一些可启用的基本加固选项。运行 make hardening.config 可用于应用推荐的加固选项。
这些针对 Linux 内核构建的加固选项相当于"一套基本的内核加固选项,对性能影响最小(或没有影响),并能移除一套合理的遗留 API"。
make hardening.config
加固选项包括基本的内核内存权限强制执行、地址空间布局随机化、分配器自由列表随机化、元数据加固、随机化系统调用入口的内核堆栈偏移、基本的帧溢出保护、基本的缓冲区长度边界检查、基本的数组索引边界检查、链表完整性检查、不允许直接物理内存访问非设备内存、禁用用户空间 VDSO ASLR、仅启用现代 PTY 接口、启用其他一些安全调整选项以及一些特定架构选项。
总的来说,这是一份不错的清单,列出了以加固为名、同时又不影响性能的各种推荐默认设置。
大多数 Linux 发行版厂商的内核已经启用了大部分或全部这些选项,但对于那些自行构建 Linux 内核的用户来说,这应该是个不错的选择。