O engenheiro da SUSE, Nikolay Borisov, enviou um conjunto de patches hoje para”ia32_disabled”que permitiria desativar o suporte para processos x86 de 32 bits em execução em sistemas Linux x86_64. Como primeiro passo, esta seria uma opção de inicialização quando”ia32_disabled”estiver definido.
O SUSE está interessado na capacidade de desabilitar a camada de compatibilidade IA32 e os patches propostos permitiriam desabilitar as chamadas de sistema de 32 bits em kernels de 64 bits, bem como desabilitar processos de 32 bits.
Eles reconhecem, porém, que o software legado de 32 bits ainda está em uso, então, por enquanto, está sendo feito uma opção de tempo de inicialização por meio da opção de kernel”ia32_disabled”, embora eventualmente possa ser oferecido como uma compilação do Kconfig-time switch se desejar desabilitar o syscall de 32 bits e processar o suporte totalmente.
Os comentários do patch são elaborados com:
“As distribuições gostariam de reduzir sua superfície de ataque o máximo possível, mas, ao mesmo tempo, precisam atender a uma ampla variedade de software legado. um kernel de 64 bits. Idealmente, teríamos a capacidade de desabilitar o suporte de compatibilidade no momento da inicialização. Isso permitiria que a decisão se ele deveria ser desabilitado/habilitado pode ser delegada aos administradores do sistema.
…
Em além de desabilitar a interface syscall de 32 bits, vamos também desabilitar a capacidade de executar processos de 32 bits. Isso é obtido definindo o descritor GDT_ENTRY_DEFAULT_USER32_CS como não presente, o que faria com que os processos de 32 bits fossem interceptados com uma exceção #NP. Além disso, proibir o carregamento de processos de compatibilidade também.”
A série de patches por enquanto está em revisão em o LKML. Será interessante ver como esse trabalho evolui e quanto interesse de outros fornecedores existe na desativação opcional do suporte ao processo de 32 bits.
