Linux Kernel Defence Map – Security Hardening Concepts

a year ago

Linux内核安全体系复杂，涉及漏洞类别、利用技术、漏洞检测机制和防御技术
Linux内核防御技术可分为主线集成、树外方案（部分为商业方案）和硬件相关方案
Linux内核防御图谱通过图形化方式呈现安全关系，辅助查阅文档和内核源码
该图谱聚焦内核加固技术，不涉及攻击面缩减、用户空间安全或Linux安全模块(LSM)策略
图谱托管于GitHub/Codeberg/GitFlic平台，采用DOT语言编写，遵循GPL-3.0协议
使用GraphViz生成图谱的命令：`dot -Tsvg linux-kernel-defence-map.dot -o linux-kernel-defence-map.svg`
多数Linux内核加固选项未被主流发行版默认启用，需手动配置
kernel-hardening-checker工具可自动验证安全加固选项
参考文献包含Kees Cook、Shawn C、MSRC、Matt Miller、Abhilash Raj和Stéphane Lesimple的成果

Hasty Briefsbeta