fedora 开发者近日提交了一项新提案,计划在 fedora 44 中默认开启一系列 linux 内核安全选项,以提升系统整体安全性,包括减少内核指针泄露、加强 jit 防护机制,并限制进程追踪权限。
拟启用的核心内核参数如下:
-
kernel.kptr_restrict
:防止普通用户获取内核指针信息,降低攻击者推测内核内存布局的可能性。目前该参数仅对指针进行模糊化处理,而此次调整旨在实现更严格的访问控制 -
net.core.bpf_jit_harden
:增强 BPF(Berkeley Packet Filter)JIT 编译器的安全性,抵御潜在的 JIT 喷射攻击,特别是针对非特权用户运行的 BPF 程序 -
kernel.yama.ptrace_scope
:收紧 ptrace 系统调用的使用范围,强化对进程调试接口的保护。同时,提案建议移除elfutils-default-yama-scope
软件包,因其可能干扰 ptrace_scope 的默认安全设置
此举意在使 Fedora 在开箱即用的情况下具备更强的安全防护能力,免除用户手动配置 sysctl 参数的需要。然而,该提案仍需通过 Fedora 工程与指导委员会(FESCo)的审核才能正式实施。
尽管这些变更有助于构建更安全的运行环境,但部分社区成员表达了对兼容性和性能影响的担忧,尤其是 Wine 和 Proton 等用于运行 Windows 应用和游戏的兼容层可能会受到波及,导致某些应用场景下出现性能下降或兼容问题。
