Tornando indietro di anni ci sono state patch per consentire al kernel Linux x86_64 di costruire come codice PIE (Position Independent Executable) per migliorare ulteriormente la sicurezza del sistema. Gli ingegneri di Antgroup hanno recentemente affrontato il supporto Linux x86_64 PIE e la scorsa settimana hanno inviato una nuova serie di patch.
Sulla base delle patch Linux PIE di alcuni anni fa, Hou Wenlong con Antgroup ha inviato patch aggiornate per consentire le build Linux x86_64 PIE:
“Queste patch apportano le modifiche necessarie alla compilazione il kernel come Position Independent Executable (PIE) su x86_64. Un kernel PIE può essere riposizionato al di sotto dei primi 2G dello spazio degli indirizzi virtuali. E questo set di patch fornisce un esempio per consentire il riposizionamento dell’immagine del kernel nei primi 512G dello spazio degli indirizzi.
Lo scopo ultimo del kernel PIE è aumentare la sicurezza del kernel e anche la [flessibilità] dell’indirizzo virtuale dell’immagine del kernel, che può trovarsi anche nella metà inferiore dello spazio degli indirizzi.Più posizioni in cui il kernel può adattarsi , questo significa che un utente malintenzionato potrebbe indovinare più facilmente.
Il set di patch è basato sul set di patch X86 PIE v6 e v11 di Thomas Garnier. Tuttavia, vengono apportate alcune modifiche al design e alcuni bug vengono risolti testando con diverse configurazioni e compilatori.”
Durante la creazione di Linux kernel un eseguibile indipendente dalla posizione migliora la sicurezza del sistema, lo svantaggio è la possibilità di un’immagine del kernel più grande e un numero di istruzioni leggermente superiore che potrebbe influire sulle prestazioni.
Chi è interessato a saperne di più su questa nuova versione del supporto Linux x86_64 PIE può vedere questa serie di patch contiene attualmente un tag”request for comments”.