Vor einigen Jahren gab es Patches, die es dem Linux x86_64-Kernel ermöglichten, als Position Independent Executable (PIE)-Code zu bauen, um die Systemsicherheit weiter zu verbessern. Die Ingenieure von Antgroup haben sich zuletzt mit der Unterstützung von Linux x86_64 PIE befasst und letzte Woche eine neue Patch-Serie verschickt.
Basierend auf den Linux-PIE-Patches von vor einigen Jahren hat Hou Wenlong mit der Antgroup aktualisierte Patches verschickt, um Linux x86_64-PIE-Builds zu ermöglichen:
“Diese Patches nehmen die zum Erstellen erforderlichen Änderungen vor den Kernel als Position Independent Executable (PIE) auf x86_64. Ein PIE-Kernel kann unter die obersten 2 GB des virtuellen Adressraums verschoben werden. Und dieses Patchset bietet ein Beispiel dafür, dass das Kernel-Image in die obersten 512 GB des Adressraums verschoben werden kann.
Der ultimative Zweck des PIE-Kernels besteht darin, die Sicherheit des Kernels und auch die [Flexibilität] der virtuellen Adresse des Kernel-Images zu erhöhen, die sogar in der unteren Hälfte des Adressraums liegen kann.Mehr Orte, an denen der Kernel Platz findet , das bedeutet, dass ein Angreifer schwerer raten könnte.
Das Patchset basiert auf Thomas Garniers X86 PIE-Patchset v6 und v11. Es wurden jedoch einige Designänderungen vorgenommen und einige Fehler durch Tests mit verschiedenen Konfigurationen und Compilern behoben.”
Während der Erstellung von Linux Kernel eine Position Independent Executable verbessert die Systemsicherheit, der Nachteil ist die Möglichkeit eines größeren Kernel-Images und einer etwas höheren Befehlsanzahl, die die Leistung beeinträchtigen könnten.
Diejenigen, die daran interessiert sind, mehr über diese neue Version der Linux x86_64 PIE-Unterstützung zu erfahren, können sich unter diese Patch-Serie trägt derzeit ein”Bitte um Kommentare”-Tag.
