FERRAMENTAS LINUX: O Kernel Linux 6.9 está facilitando o gerenciamento de opções de mitigação de segurança

segunda-feira, 11 de março de 2024

O Kernel Linux 6.9 está facilitando o gerenciamento de opções de mitigação de segurança

 

As modificações x86/core foram submetidas hoje para a recém-aberta janela de fusão do Kernel Linux 6.9. 

Dentre as várias alterações, as opções de mitigação de segurança da CPU x86 no Kconfig do kernel Linux foram ajustadas, quando necessário, para esclarecer que as opções/recursos são destinados a mitigações de segurança.

Ingo Molnar submeteu as modificações x86/core para o Linux 6.9 e a “maior mudança” é a reestruturação do código por CPU para suportar o recurso GCC Named Address Spaces. A solicitação pull detalha os benefícios dos espaços de endereço nomeados do GCC, como:

- Isso permite que o código C acesse a memória relativa dos segmentos GS e FS através de variáveis declaradas com tais atributos, o que possibilita ao compilador otimizar esses acessos melhor do que o código assembly embutido anterior.

- A série também inclui uma série de micro-otimizações para vários métodos de acesso percpu, além de uma série de limpezas de acessos %gs em código assembly.

A solicitação pull x86/core também apresenta algumas outras melhorias de código, reestrutura o código ocioso x86 e limpa as opções Kconfig de mitigações de CPU para que sejam mais fáceis de entender e manter.

Com as alterações de mitigação de segurança do Kconfig, agora todos eles têm claramente o prefixo “CONFIG_MITIGATION_*” para evitar confusão por parte dos usuários. As opções afetadas incluem CONFIG_GDS_FORCE_MITIGATION, CONFIG_CPU_IBPB_ENTRY, CONFIG_CALL_DEPTH_TRACKING, CONFIG_PAGE_TABLE_ISOLATION, CONFIG_RETPOLINE, CONFIG_SLS, CONFIG_CPU_UNRET_ENTRY, CONFIG_CPU_IBRS_ENTRY, CONFIG_CPU_SRSO e CONFIG_RETHUNK. Apenas lendo os nomes do Kconfig, alguns usuários podem pensar que “SLS” pode ser algum recurso ou algo assim, onde na realidade é a opção para ativar o código do kernel para mitigar a especulação direta. Da mesma forma, CALL_DEPTH_TRACKING, RETPOLINE, etc, não são muito familiares para as massas e podem causar confusão. Portanto, os novos nomes de opções para Linux 6.9+ são CONFIG_MITIGATION_GDS_FORCE, CONFIG_MITIGATION_IBPB_ENTRY, CONFIG_MITIGATION_CALL_DEPTH_TRACKING, CONFIG_MITIGATION_PAGE_TABLE_ISOLATION, CONFIG_MITIGATION_RETPOLINE, CONFIG_MITIGATION_SLS, CONFIG_MITIGATION_UNRET_ENTRY, CONFIG_MITIGATION_ IBRS_ENTRY, CONFIG_MITIGATION_SRSO e CONFIG_MITIGATION_RETHUNK para deixar bem claro que essas opções servem para habilitar mitigações.

Essas alterações no nome da opção de mitigação do Kconfig também facilitam para aqueles que desejam desabilitar explicitamente a construção de um kernel com mitigações ou que desejam ver facilmente quais opções de mitigação podem ser habilitadas para uma determinada configuração de kernel.

Mais detalhes sobre as alterações do recurso x86/core para o
Kernel Linux 6.9 podem ser encontrados nesta solicitação pull.






Fonte 

Até a próxima !!

Nenhum comentário:

Postar um comentário