Linux CONFIG_SECURITY_LOADPIN技术探究

最新推荐文章于 2024-04-27 17:18:35 发布
VIP文章 最新推荐文章于 2024-04-27 17:18:35 发布
阅读量912 收藏 28
点赞数 20
文章标签: linux 安全 android 漏洞缓解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_34606064/article/details/135848577
版权

  • 1.背景

        因Android12后GKI发展趋势,且后续内核定制都以内核模块挂载CONFIG_MODULE_SIG不能在后续版本延用[1]内核模块的安全性不仅没有提升,反而被迫下降。现对内核模块另外一项安全策略CONFIG_SECURITY_LOADPIN(后续简称LOADPIN)进行调研分析,探讨是否能够开启以便弥补安全性缺口。由于LOADPIN在国内论坛和博客中没有详细的中文文献,本次特地将调研总结分享给论坛。

[1]:GKI商用后,后续上市的终端均使用Google的boot.img,而MODULE_SIG对.ko的签名在boot.img构建时,这里的私钥Google公开(验证形同虚设)、不公开(OEM厂商无法挂载.ko)都会存在问题。

2.功能情况

  • CONFIG_SECURITY_LOADPIN

LOADPIN作为一个轻量级的LSM功能,在kernel 4.7版本合入Linux主线。其主要目的为确保内核加载文件(内核模块,固件,kexec映像,安全策略)来自只读的、同一文件系统。这旨在简化嵌入式系统文件检查(相于复杂的签名机制)。

3.当前功能情况

当前Android厂商均为开启此功能。

OPPO

CONFIG_SECURITY_LOADPIN is not set

三星

CONFIG_
最低0.47元/天 解锁文章
GodLieke
关注
  • 20
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
smarty内置函数config_load用法实例
10-24
主要介绍了smarty内置函数config_load用法,实例分析了{config_load}配置变量的使用技巧,需要的朋友可以参考下
awsconfig_lambda_security_group
08-12
AWS DevOps 通过Config自动审计Security Group配置. https://blog.csdn.net/u010478127/article/details/107948415 这个实验的一个场景是,运维同事设计安全Security Group的时候,打开了除了HTTP和HTTPS的入口访问权限。其他协议或端口如果打开,除了审计不通过的同时,会自动触发一个函数将它修改成我们定义好的权限。(如果你了解一些Lambda就会非常清楚这个逻辑了)修改,添加或已有的Security —— 触发Config的审计—— 触发Lambda来修改正确的规则
Linux sshd_config配置手册中文版
09-15
sshd默认从 /etc/ssh/sshd_config 文件(或通过 -f 命令行选项指定的文件)读取配置信息。配置文件是由"指令 值"对组成的,每行一个。空行和以'#'开头的行都将被忽略。如果值中含有空白符或者其他特殊符号,那么可以通过在两边加上双引号(")进行界定
Linux内核CONFIG_OF宏定义
luokaisong130的博客
06-13 4280
之前看代码很多地方都看到CONFIG_OF宏,而且很多宏的创建都需要依赖这个宏的建立,找了下代码,发现这个宏默认是打开的,具体位置在kernel/arch/arm/Kconfig或kernel/arch/arm64/Kconfig,前面select关键字即设置为y ...
Linux】PKG_CONFIG_PATH
qq_36182852的博客
11-13 6849
目录 [ERROR]为了解决以下部署问题 一、什么是configure 二、什么是pkg-config 1、pkg-config介绍 2、pkg-config功能 3、glib-2.0的.pc文件内容举例 4、 环境变量PKG_CONFIG_PATH 三、运行时库的连接 [ERROR]为了解决以下部署问题 Package sentencepiece was not found in the pkg-config search path. Perhaps you shou
Linux之sshd_config配置文件说明及实践
热门推荐
月生的静心苑
09-19 3万+
sshd_config 是 OpenSSH SSH 服务器守护进程配置文件,主要用于设置ssh server服务的相关参数,包括监听地址、监听端口、允许验证次数、是否允许root账户登录等等。sshd服务从/etc/ssh/sshd_config(或命令行中用-f指定的文件)读取配置数据。该文件包含关键字参数对,每行一对。以“#”开头的行和空行被解释为注释。参数可以用双引号(“)括起来,以表示包含空格的参数。改配置文件,只有root账户或者拥有root权限的账户可以配置和修改,配置文件修改后,重启sshd服
Android网络安全配置network_security_config
折翅鵬的博客
07-01 2445
Android开发过程中,如果出现网络请求错误,测试经常会抓包来查看请求的情况。在Android6.0 及以下系统可以抓包,而 Android7.0 及以上系统不能再抓包了,因为Android7.0及以上系统版本新增了证书验证,所以 app 内不再像原来一样默认信任用户的证书了。为了让测试能在抓包,一般都会在AndroidManifest.xml文件中配置network-security-config来实现。
pkg-config_0.23-2_win64.zip
05-30
pkg-config本身是一个linux下的命令,其功能是用于获得某一个库/模块的所有编译相关的信息。 # 在windows上面配置pkg-config 将下载的pkg-config_0.23-2_win64解压,解压的bin与MinGW-w64里的的bin目录合并。
config_sample.inc.php
06-24
config_sample.inc.php
Linux多进程(五) 进程池 C++实现
Lyajpunov的博客
04-26 595
进程池是一种并发编程模式,用于管理和重用多个处理任务的进程。它通常用于需要频繁创建和销毁进程的情况,以避免因此产生的开销。减少进程创建销毁的开销:避免频繁创建和销毁进程所带来的系统资源开销。提高系统响应速度:由于进程已经初始化并且一直保持在内存中,可以立即分配执行任务,减少了任务等待时间。控制资源使用:通过限制进程池中的进程数量,可以控制系统资源的使用情况,避免资源过度消耗。
13 Linux实操篇-网络配置
qq_74289024的博客
04-23 901
子网ip 与网关。
Linux 学习之路 -- 进程篇 -- 进程控制
2302_79538079的博客
04-24 1041
进程控制的简单介绍
Linux——web服务配置
Xinan_____的博客
04-23 1059
GET:请求获取指定资源的表示形式。使用GET方法,客户端请求服务器发送某个资源。POST:向指定资源提交数据,用于处理表单提交、文件上传等操作。PUT:向指定资源位置上传其最新内容,用于更新资源。DELETE:请求服务器删除指定资源。HEAD:请求获取与实体相对应的头部信息,用于获取资源的元数据。OPTIONS:请求查询服务器支持的HTTP方法。TRACE:请求服务器回显收到的请求消息,用于测试或诊断。200 OK:请求成功。:永久重定向,请求的资源已经被分配了新的。
Linux】解决切换用户出现bash-4.2$问题
weixin_44628581的博客
04-23 552
etc/skel/.bashrc /etc/skel/.bash_profile 传过去后显示登录成功。cp /etc/skel/.bash_profile /opt/孙悟空。cp /etc/skel/.bash_profile /opt/沙悟净。cp /etc/skel/.bash_profile /opt/猪八戒。cp /etc/skel/.bash_profile /opt/唐僧。cp /etc/skel/.bashrc /opt/猪八戒。切换用户出现 bash 4.2 问题。
linux 信号
最新发布
l2894的博客
04-27 448
设定闹钟是再OS内部,OS内可能有很多进程使用闹钟,所以OS要管理所有的闹钟,先描述,再组织,所以内核中一定要有描述闹钟属性的结构体,并用特定的数据结构组织起来,这里可以使用小根堆来对闹钟进行管理。),并保存在指定寄存器中,当中断发生时,CPU会暂停当前正在执行的程序,并保存当前进程的上下文数据,然后查找中断向量表,找到与中断号对应的处理函数的地址,回调方法。同时CPU有很多针脚,和外设物理连接,每个针脚有自己的编号,键盘按下按键会给特定的针脚发送高电平,触发硬件中断,CPU会识别到针脚的编号(
[Linux_IMX6ULL驱动开发]-设备树简述
levi的博客
04-24 868
这个属性有一点重要的作用是,假如我这里有两块板子,板子A以及板子B,同时使用了一个公板的设备树节点XXX.dtsi(dtsi表示可以被设备树使用#include包含),此时我的板子A不需要使用到公板的uart节点,那么我们直接在板子A的设备树中,使用&uart来引用此节点,再把状态设置为disable即可。设备树的属性如果不是自定的,那么可以直接获取,比如说reg属性,就是MEM资源,interrupts属性,就是IRQ资源,这些都是可以直接调用函数platform_get_resource获取。
Linux之C编程入门
qwertf123的博客
04-21 854
Linux之C编程入门
arm架构Linux5.0内核连接脚本文件vmlinux.lds.S分析
jianjian的博客
04-23 935
vmlinux.lds.S 是 Linux 内核中用于链接的脚本文件,用于定义内核对象文件的内存布局,即它告诉链接器如何将不同的内核代码段和数据段组合成一个最终的内核映像 vmlinux。编译内核源码生成内核文件的过程分两步,一个是“编译”,另一个是“链接”的过程,vmlinux.lds.S要做的就是告诉编译器如何链接编译好的各个内核.o文件,从而生成vmlinux文件。
LinuxCONFIG_SITE
07-27
以下是一个示例,演示如何在Linux中使用 `CONFIG_SITE` 环境变量: 1. 打开终端。 2. 使用以下命令设置 `CONFIG_SITE` 环境变量,并将其值设置为您要使用的配置文件路径: ``` export CONFIG_SITE=/path/to/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值