Introduzido no ano passado com o kernel Linux 6.7, a configuração de proteção "make hardening.config" foi criada para facilitar a construção de um kernel Linux com segurança reforçada.
Com a chegada do Kernel Linux 6.10, os novos recursos de segurança foram adicionados, aprimorando ainda mais essa funcionalidade.
Uma das atualizações mais notáveis do Kernel Linux 6.10 é a inclusão das proteções Clang Kernel Control Flow Integrity (KCFI). Essas proteções são ativadas quando se utiliza o LLVM Clang em vez do GCC como compilador para construir o kernel. Isso fortalece a integridade do fluxo de controle do kernel, tornando-o mais resistente a ataques.
Outra melhoria importante é a ativação de CONFIG_UNWIND_PATCH_PAC_INTO_SCS, que permite a utilização dinâmica da pilha de chamadas shadow por meio da correção de código. Essa atualização reforça a segurança e a integridade das operações do kernel.
O Kernel Linux 6.10 também habilita o CONFIG_X86_KERNEL_IBT para a funcionalidade Control-flow Enforcement Technology (CET) e Indirect Branch Tracking (IBT). Esta funcionalidade é suportada em processadores mais recentes, adicionando uma camada extra de proteção contra explorações que visam desviar o fluxo de execução do programa.
A construção reforçada do kernel no Linux 6.10 agora inclui as configurações CONFIG_PAGE_TABLE_CHECK e CONFIG_PAGE_TABLE_CHECK_ENFORCED. Estas opções impõem a verificação da tabela de páginas por padrão, garantindo uma gestão mais segura e confiável da memória.
As atualizações de proteção no Kernel Linux 6.10 representam um avanço significativo na segurança do kernel. A inclusão de proteções como o KCFI, ativação dinâmica da pilha de chamadas shadow, CET com o IBT e verificação da tabela de páginas demonstra o compromisso contínuo da comunidade Linux em fortalecer a segurança do sistema operacional. Essas melhorias são cruciais para proteger os sistemas contra ameaças emergentes e manter a integridade e a confiabilidade do kernel Linux.
Até a próxima !!
Nenhum comentário:
Postar um comentário