PaX RAP优化项目总结

Linux
wenfeixiang (25847)发表于 2019年10月10日 16时28分 星期四
来自部门
HardenedLinux 写道 "由于一些对于高级防御需求的在野节点生产环境的需求,HardenedLinux一直都在尝试打造基于自由软件/固件/硬件的基础架构整体防御方案Hardening the COREs,而其中PaX RAP作为唯一大规模用于生产环境的CFI(代码执行完整性保护),不论在内核还是固件层面都是重要的房角石,所以在其安全性分析以外我们也尝试从性能优化的角度做一些尝试,在去掉一些老版本PaX RAP中重用的instrumentation场景下(不适用于服务器)Forward-edged CFI性能得到了一定程度的提升,Backward-edged CFI能做的性能优化空间不大,需要借助于未来Intel CET,ARMv8.3的PA和ARMv8.5的MTE的辅助来提速。在针对PaX RAP的整体分析和评估中我们对指针分析和基于type hash在plugins使用的GCC内置API的流程上出现了误判,项目终章总结有详细描述。本轮针对PaX RAP和其他还无法应用生产环境的CFI方案的评估断断续续了几年,很可惜,即使在PaX/GRsecurity公开RAP的第一个版本4年后的今天依然是唯一的可大规模部署的服务器Linux内核CFI方案,在后Meltdown/Spectre时代,2019版本的RAP具备更强悍的安全性但由于官方并未公开文档所以这里不作描述,希望HardenedLinux社区的这次试验性项目可以为更多的自由软件项目在CFI评估方面提供参考。最后再次感谢PaX team的review,反馈和相关建议。"