Jaren geleden zijn er patches geweest om de Linux x86_64-kernel te laten bouwen als Position Independent Executable (PIE)-code om de systeembeveiliging verder te verbeteren. Antgroup-technici hebben recentelijk de Linux x86_64 PIE-ondersteuning aangepakt en vorige week hebben ze een nieuwe patch-serie verzonden.
Op basis van de Linux PIE-patches van een paar jaar geleden, stuurde Hou Wenlong met de Antgroup bijgewerkte patches voor het toestaan van Linux x86_64 PIE-builds:
“Deze patches maken de veranderingen die nodig zijn om de kernel als Position Independent Executable (PIE) op x86_64. Een PIE-kernel kan worden verplaatst onder de bovenste 2G van de virtuele adresruimte. En deze patchset geeft een voorbeeld om kernelimage te verplaatsen naar de bovenste 512G van de adresruimte.
Het uiteindelijke doel van de PIE-kernel is om de beveiliging van de kernel te vergroten en ook de [flexibiliteit] van het virtuele adres van de kernelafbeelding, dat zich zelfs in de onderste helft van de adresruimte kan bevinden.Meer locaties waar de kernel in past , dit betekent dat een aanvaller moeilijker kan raden.
De patchset is gebaseerd op Thomas Garnier’s X86 PIE patchset v6 en v11. Er zijn echter enkele ontwerpwijzigingen aangebracht en sommige bugs zijn verholpen door te testen met verschillende configuraties en compilers.”
Tijdens het maken van de Linux kernel een positie-onafhankelijk uitvoerbaar bestand verbetert de systeembeveiliging, het nadeel is de mogelijkheid van een grotere kernelafbeelding en een iets hoger aantal instructies die de prestaties kunnen beïnvloeden.
Degenen die meer willen weten over deze frisse kijk op Linux x86_64 PIE-ondersteuning kunnen kijken op deze patch-serie draagt momenteel de tag”request for comments”.
