A Änderungen, die als Teil der „x86/mm“-TIP-Änderungen in die Warteschlange gestellt wurden, die voraussichtlich für Linux 6.1 landen werden, weisen nun die Standard-Kernelkonfiguration auf, die beim Booten des Kernels vor allen W+X-Mappings warnt, die ein Sicherheitsrisiko darstellen.
Seit 2015 gibt es die Kernel-Option”CONFIG_DEBUG_WX”, die beim Booten des Kernels vor Mappings warnt, die auf beschreibbar und ausführbar gesetzt sind, da sie ein Sicherheitsrisiko darstellen. Die Absicht dieser „Debug“-Option ist es, vor W+X-Mappings zu warnen, die der Kernel nach der Anwendung von NX hinterlassen hat. Alle Zuordnungen werden in das Kernel-Protokoll geschrieben, um potenzielle Kernel-Probleme aufzudecken.
CONFIG_DEBUG_WX hat in den letzten sieben Jahren glücklich an Linux-Kernel-Versionen gearbeitet, obwohl es nicht Teil der x86/x86_64-Standard-Kernel-Konfiguration ist. Aber mit den TIP x86/mm Materialänderungen dieser Woche, die vor dem Zusammenführungsfenster von Linux 6.1 in die Warteschlange gestellt werden, wäre CONFIG_DEBUG_WX standardmäßig aktiviert.
Dies commit fügt standardmäßig die Option CONFIG_DEBUG_WX für die i386-und x86_64-Defconfigs hinzu. Nicht-x86-Architekturen sind derzeit unverändert in ihrer DEBUG_WX-Standardkonfiguration. Natürlich geht es hier nur um die Standardkonfiguration, und Benutzer/Distributionen können ihre eigenen Anpassungen frei ausliefern – die meisten Distributionskerne werden wahrscheinlich bereits mit aktivierter Option ausgeliefert, soweit ich weiß. Diese W+X-Überprüfung findet nur beim Booten statt, ohne dass diese Änderung die Laufzeit oder die Speicherleistung beeinträchtigt, daher sollte es eine sichere Standard-Kernel-Konfigurationsänderung für Benutzer sein, die sich weiterentwickeln.
