Linux 5.13中的一个新的安全特性是在每次系统调用时随机化内核堆栈偏移的能力。这一可选的功能现在已经成为主流。随机化每个系统调用的内核堆栈偏移是为了使流氓行为者对Linux内核进行基于堆栈的攻击更具挑战性。
这项工作已经进行了两年多,其灵感来自于PaX的 "RANDKSTACK "功能,但实际实现时采取了不同的方法。简单地说,在每次系统调用时对内核堆栈的随机化是为了抵御依赖于内核堆栈确定性的攻击。
在启动时,可以通过randomize_kstack_offset=参数切换该功能,开/关取决于需要的行为。
启用这个 randomize_kstack_offset 功能,预计至少会对某些工作负载产生 1% 的性能影响,但目前情况未知,要等一些涉及开/关的基准测试结果出现后才会明确。
关于每个系统调用随机化内核堆栈功能的更多细节,可以通过Linux 5.13的这个拉动请求找到: