Linux 5.13版增加了對每個系統調用的堆棧偏移量隨機化的支持
Linux 5.13中的一個新的安全特性是在每次系統調用時隨機化內核堆棧偏移的能力。這一可選的功能現在已經成為主流。隨機化每個系統調用的內核堆棧偏移是為了使流氓行為者對Linux內核進行基於堆棧的攻擊更具挑戰性。
這項工作已經進行了兩年多,其靈感來自於PaX的”RANDKSTACK “功能,但實際實現時採取了不同的方法。簡單地說,在每次系統調用時對內核堆棧的隨機化是為了抵禦依賴於內核堆棧確定性的攻擊。
在啟動時,可以通過randomize_kstack_offset=參數切換該功能,開/關取決於需要的行為。
啟用這個randomize_kstack_offset 功能,預計至少會對某些工作負載產生1% 的性能影響,但目前情況未知,要等一些涉及開/關的基準測試結果出現後才會明確。
關於每個系統調用隨機化內核堆棧功能的更多細節,可以通過Linux 5.13的這個拉動請求找到: