Hace años que ha habido parches para permitir que el kernel de Linux x86_64 se construya como código ejecutable independiente de posición (PIE) para mejorar aún más la seguridad del sistema. Los ingenieros de Antgroup han estado abordando recientemente el soporte de Linux x86_64 PIE y la semana pasada enviaron una nueva serie de parches.
Basado en los parches de Linux PIE de hace algunos años, Hou Wenlong con Antgroup envió parches actualizados para permitir compilaciones de Linux x86_64 PIE:
“Estos parches hacen los cambios necesarios para compilar el kernel como ejecutable independiente de posición (PIE) en x86_64. Un kernel PIE se puede reubicar debajo de los 2G superiores del espacio de direcciones virtuales. Y este conjunto de parches proporciona un ejemplo para permitir que la imagen del kernel se reubique en los 512G superiores del espacio de direcciones.
El objetivo final del kernel PIE es aumentar la seguridad del kernel y también la [flexibilidad] de la dirección virtual de la imagen del kernel, que puede estar incluso en la mitad inferior del espacio de direcciones. Más ubicaciones en las que puede caber el kernel , esto significa que un atacante podría adivinar más difícil.
El conjunto de parches se basa en el conjunto de parches X86 PIE v6 y v11 de Thomas Garnier. Sin embargo, se realizan algunos cambios de diseño y se corrigen algunos errores al probar con diferentes configuraciones y compiladores.”
Mientras hacía Linux kernel a Position Independent Executable mejora la seguridad del sistema, la desventaja es la posibilidad de una imagen de kernel más grande y un recuento de instrucciones ligeramente mayor que podría afectar el rendimiento.
Los interesados en obtener más información sobre esta nueva versión de la compatibilidad con Linux x86_64 PIE pueden visitar esta serie de parches actualmente lleva una etiqueta de”solicitud de comentarios”.
