Linux - 内核 - 安全机制 - 内存页表安全

leon.liao

已于 2023-11-18 10:35:03 修改

阅读量818

点赞数 1

CC 4.0 BY-SA版权

分类专栏： # Linux 内核知识文章标签： linux 安全运维

于 2023-11-16 11:49:07 首次发布

本文链接：https://blog.csdn.net/qazw9600/article/details/134438620

Linux 内核知识专栏收录该内容

23 篇文章

订阅专栏

本文讲述了内核和模块的页表安全配置，包括CONFIG_DEBUG_KERNEL,CONFIG_DEBUG_RODATA和CONFIG_STRICT_KERNEL_RWX/CONFIG_STRICT_MODULE_RWX，这些配置使内核代码和rodata段只读，防止堆栈执行和代码修改攻击。开启后会导致内存占用增加，且可能影响调试。不同架构的Linux内核对这些配置有不同的默认设置。

说明

内核页表安全的最终目标是：将内核使用到的内存页（内核与module占用）的属性（读/写/可执行）配置成安全的，即：代码段和rodata段只读，非代码段不能执行等，用来防御堆栈执行和代码段被修改的攻击。

内核页表安全

影响

kernel code, init等占用的预留内存会变大。

开启配置后，内核链接脚本中会对kernel的代码段等内存做size对齐操作（默认2MB对齐），预留内存占用会多3~4MB，如下：

* 开启配置，启动log (kernel code,init大小2M对齐)
Memory: 32360K/131072K available (4096K kernel code, 277K rwdata, 1240K rodata, 2048K init, 139K bss, 98712K reserved, 0K cma-reserved)
* 未开启配置，启动log
Memory: 35788K/131072K available (3122K kernel code, 282K rwdata, 1304K rodata, 144K init, 140K bss, 95284K reserved, 0K cma-reserved)

arm 内核链接脚本

//file: arch/arm/include/asm/pgtable-2level.h:
#define SECTION_SHIFT		20
...

//file: arch/arm/kernel/vmlinux.lds.S
...
#ifdef CONFIG_STRICT_KERNEL_RWX
        . = ALIGN(1<<SECTION_SHIFT);
#else
        . = ALIGN(PAGE_SIZE);
#endif
...

阻止使用gdb调试软件断点，jtag硬件断点可用，blog 说明。

module页表安全

实现原理

初始化 rodata_enabled值，开启配置后，默认为true。

//file: init/main.c
...
#if defined(CONFIG_STRICT_KERNEL_RWX) || defined(CONFIG_STRICT_MODULE_RWX)
bool rodata_enabled __ro_after_init = true;
static int __init set_debug_rodata(char *str)
{
        return strtobool(str, &rodata_enabled);
}
__setup("rodata=", set_debug_rodata);
#endif
...

mmap

//file: arch/arm64/mm/mmu.c
static void __init map_kernel(pgd_t *pgdp)
{
    static struct vm_struct vmlinux_text, vmlinux_rodata, vmlinux_inittext,
                            vmlinux_initdata, vmlinux_data;
    
    /*
     * External debuggers may need to write directly to the text
     * mapping to install SW breakpoints. Allow this (only) when
     * explicitly requested with rodata=off.
     */
    pgprot_t text_prot = rodata_enabled ? PAGE_KERNEL_ROX : PAGE_KERNEL_EXEC;
    
    /*
     * If we have a CPU that supports BTI and a kernel built for
     * BTI then mark the kernel executable text as guarded pages
     * now so we don't have to rewrite the page tables later.
     */
    if (arm64_early_this_cpu_has_bti())
            text_prot = __pgprot_modify(text_prot, PTE_GP, PTE_GP);
    
    /*
     * Only rodata will be remapped with different permissions later on,
     * all other segments are allowed to use contiguous mappings.
     */
    map_kernel_segment(pgdp, _text, _etext, text_prot, &vmlinux_text, 0,
                       VM_NO_GUARD);
    .....
}

现状

未开启相关配置的Linux内核，内存页权限没做什么限制。
以上选项对于较新的CPU架构和kernel版本，已经是默认开启，Linux内核中会根据ARCH（CPU架构）来确定是否默认支持，如下：

//file: arch/Kconfig
config ARCH_OPTIONAL_KERNEL_RWX
    def_bool n

config ARCH_OPTIONAL_KERNEL_RWX_DEFAULT
    def_bool n

config ARCH_HAS_STRICT_KERNEL_RWX
    def_bool n

config STRICT_KERNEL_RWX
    bool "Make kernel text and rodata read-only" if ARCH_OPTIONAL_KERNEL_RWX
    depends on ARCH_HAS_STRICT_KERNEL_RWX
    default !ARCH_OPTIONAL_KERNEL_RWX || ARCH_OPTIONAL_KERNEL_RWX_DEFAULT
    ...

//file: arch/riscv/Kconfig   // riscv架构cpu配置
config RISCV
    def_bool y
    ...
    select ARCH_HAS_STRICT_KERNEL_RWX if MMU
    ...
    select ARCH_OPTIONAL_KERNEL_RWX if ARCH_HAS_STRICT_KERNEL_RWX
    select ARCH_OPTIONAL_KERNEL_RWX_DEFAULT

也可以手动对以上选项进行配置，如下：

General architecture-dependent options  --->
    [*] Make kernel text and rodata read-only (NEW)
    [*] Set loadable kernel module data as NX and text as RO (NEW)