云原生攻防研究:漏洞缓解技术
本文对五种常见的内核漏洞缓解技术做了介绍:
mmap_min_addr(对应/proc/sys/vm/mmap_min_addr文件)
KASLR(对应/etc/default/grub文件)
kptr_restrict(对应/proc/sys/kernel/kptr_restrict文件)
dmesg_restrict(对应/proc/sys/kernel/dmesg_restrict文件)
SMEP/SMAP(对应/proc/cpuinfo文件)
为了加强容器运行环境的安全性,我们可以检查上面括号内列出的各漏洞缓解技术的对应文件来判断相应的缓解技术是否启用。其中,SMEP/SMAP需要CPU的支持;另外,在版本较新的内核中,上述漏洞缓解技术往往都处于启用状态,但是在老版本的内核或设备中,受功能限制或出于性能需求,一些漏洞缓解技术可能会被停用。
值得注意的是,漏洞缓解技术与其他防御机制或系统类似,但是也存在显著不同。漏洞缓解技术通常是为了应对新出现的具体攻击手段而不断被设计产生的,通常具有广而杂、小而精的特点。
宏观上来看,从安全开发到安全运行,从最小权限到纵深防御,它们与其他防御机制或系统在具体场景下一起组建成抵御攻击的防御体系,共同保障业务安全。
未知攻焉知防。但另一方面,防守者也需要对自己的环境、对已有的安全机制和措施更加了解,从而更准确地评估当前系统或集群的安全状态,在此基础上制定和应用更贴合实际的安全策略。
最后更新于
