- 综合排序
- 最热优先
- 最新优先
- 来自专栏开发者技术前线
Android 安全之Linux 内核安全
点击标题下「蓝色微信名」可快速关注 本篇继续安全系列之介绍,继续学习linux安全!,上期学习了android系统构建介绍,下期将会了解用户空间之安全。 作为最广为人知的开源项目之一,Linux 已经被证明是一个安全,可信和稳定的软件,全世界数千人对它进行研究,攻击和打补丁。 不出所料,Linux 内核是 Android 操作系统的基础[3]。 Android 不仅依赖于 Linux 的进程,内存和文件系统管理,它也是 Android 安全架构中最重要的组件之一。 在 Android 中,Linux 内核负责配置应用沙盒,以及规范一些权限。 此图显示了 Android 安全体系结构的更详细的概述。我们将在本文中参考它来解释这个操作系统的特性。 在 Linux 内核层配置应用沙箱的过程如下。 图 2.1:Android 安全架构 在 Linux 中,内存中的所有文件都受 Linux 自定义访问控制(DAC)的约束。
2K20发布于 2020-11-23 深入解析 openEuler 内核安全体系
一、安全机制研究概述在当今网络安全形势日益严峻的背景下,操作系统内核的安全性直接关系到整个IT基础设施的安全防线。 openEuler作为面向企业级应用的自主创新操作系统,在内核安全方面投入了大量研发资源,构建了多层次、立体化的安全防护体系。 本篇文章系统梳理openEuler内核的安全机制,涵盖内存保护、访问控制、漏洞防护、安全审计等多个维度。 二、openEuler内核安全架构解析2.1安全机制概览openEuler内核的安全机制可以分为以下几个层次:安全层次核心技术防护能力性能影响内存安全KASLR/KPTI防地址泄露<5%访问控制SELinux 2.2安全技术创新点openEuler内核在安全方面的创新主要体现在:能力关键措施主动防御能力-内核地址随机化增强(KASLR)-控制流完整性保护(CFI)-返回导向编程(ROP)防护-数据执行保护(DEP
29910编辑于 2025-12-03- 来自专栏LINUX阅码场
详解Android内核安全
这也导致了Android内核在安全侧有部分不同于Linux内核,侧重点也存在不同。 在操作系统级别,Android平台不仅提供Linux内核的安全功能,而且还提供安全的进程间通信 (IPC)机制,以便在不同进程中运行的应用之间安全通信。 要为内核启用ShadowCallStack,请将下面这行代码添加到内核配置文件: CONFIG_SHADOW_CALL_STACK=y 九、总结 除以上内核安全特性外,Android提供了一些关键的安全功能 ,其中包括: 基于用户的权限模式 进程隔离 实现安全IPC的可扩展机制 移除内核中不必要的和可能不安全的部分 我们也可以看到,上述很多功能都是基于LLVM编译器来实现,在现实工作中,LLVM也不只是作为一个 内核在集成Linux内核主线版本的优势下,再发展适合自身生态的内核安全方案,在庞大数量设备的基础上,既是挑战,也是机遇,期待Android能给出完美的答案。
2K30编辑于 2022-09-28 - 来自专栏betasec
安全攻防 | win系统内核提权
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。 ? ? 具体操作如下: 01 查询系统补丁更新情况 在经过常规手法web渗透或者钓鱼等操作获得基本权限(用户权限,或者服务权限)之后,最常用的方法就是windows系统的内核提权。
80030发布于 2021-04-22 - 来自专栏网络安全技术点滴分享
Linux内核v4.12安全特性深度解析
Linux内核v4.12的安全特性发布日期:2017年7月10日 分类:Chrome OS, Debian, 内核, 安全, Ubuntu, Ubuntu-Server 作者:kees @ 凌晨1: 24上一篇:v4.11以下是Linux内核上周发布的v4.12版本中一些有趣安全特性的快速总结:x86只读与固定位置GDT通过内核内存基地址随机化,攻击者仍可通过"sgdt"指令获取每CPU基地址,因为该指令会暴露每 LSM结构只读化James Morris利用__ro_after_init使LSM(Linux安全模块)结构在启动后变为只读。这消除了它们作为攻击者理想目标的风险。 由于内核各处都会调用这些钩子,这曾是攻击者劫持内核执行的首选方法。(类似目标过去是系统调用表,但早已设为只读。) 27)、逆向工程(15)、安全(130)、Ubuntu(179)、Ubuntu服务器(109)、车辆(2)、漏洞(12)、Web(14)搜索:链接: Outflux #fediverse归档: (
16410编辑于 2025-08-22 - 来自专栏乌龟哥哥默认学习专栏
安全增强型Linux内核模块介绍
SELinux:安全增强型Linux内核模块介绍========================SELinux,全称Security-Enhanced Linux,是一种在Linux内核中实现的安全策略 什么是SELinux--------SELinux是一种基于安全策略(Security Policy)的访问控制机制,通过在Linux内核中添加安全模块,实现更为严格的资源访问控制。 SELinux的核心思想是将系统资源(如文件、目录、网络端口等)与用户(或其他安全实体)关联起来,根据预先定义的安全策略,限制用户对系统资源的访问。 MLS(Multi-Level Security):SELinux支持多级安全(MLS)策略,这种策略允许多个安全级别不同的用户共享相同的系统资源。 总结--SELinux作为一款安全增强型Linux内核模块,为Linux系统的安全性提供了强有力的保障。
1K00编辑于 2023-10-05 - 来自专栏FreeBuf
如何检测Linux内核中的安全增强选项
关于kconfig-hardened-check kconfig-hardened-check是一款功能强大的安全检测工具,可以帮助广大研究人员检测Linux内核中的安全增强选项。 Linux内核中提供了很多安全增强选项,其中有很多选项在主要的Linux发行版系统中都默认不会开启。因此,我们如果想要让自己的系统变得更加安全的话,我们则需要手动开启这些安全增强选项。 但是,谁都不想手动去检查这些配置选项,因此kconfig-hardened-check便应运而生,它可以自动帮我们检查自己Linux系统内核中的相关安全增强选项。 在检查的过程中,kconfig-hardened-check.py 将根据下列参考配置来进行检查: 1、KSPP推荐设置; 2、CLIP操作系统内核配置; 3、最新公开的grsecurity修复方案; 4、SECURITY_LOCKDOWN_LSM修复方案; 5、Linux内核维护团队的直接反馈; 除此之外,我们还创建了一份Linux内核防御图,它是安全强化特性和相应漏洞类或攻击技术之间关系的图形表示
2.8K20发布于 2021-07-30 - 来自专栏ThoughtWorks
如何增强Linux内核中的访问控制安全 | 洞见
所以为了安全起见,一般将LD_PRELOAD环境变量禁用掉。 但是内核为了安全,对这种操作做了一些限制: sys_call_table的符号没有导出,不能直接获取。 sys_call_table所在的内存页是只读属性的,无法直接进行修改。 ---- LSM LSM是Linux Secrity Module的简称,即linux安全模块。是一种通用的Linux安全框架,具有效率高,简单易用等特点。原理如下: ? LSM在内核中做了以下工作: 在特定的内核数据结构中加入安全域。 在内核源代码中不同的关键点插入对安全钩子函数的调用。 加入一个通用的安全系统调用。 提供了函数允许内核模块注册为安全模块或者注销。 LSM,在早期的内核中,只能允许一个LSM内核模块加载,例如加载了SELinux,就不能加载其他的LSM模块,在最新的内核版本中不存在这个问题。
3K10发布于 2018-12-24 - 来自专栏信数据得永生
浅入浅出 Android 安全:第二章 Android Linux 内核层安全
第二章 Android Linux 内核层安全 来源:Yury Zhauniarovich | Publications 译者:飞龙 协议:CC BY-NC-SA 4.0 作为最广为人知的开源项目之一 ,Linux 已经被证明是一个安全,可信和稳定的软件,全世界数千人对它进行研究,攻击和打补丁。 不出所料,Linux 内核是 Android 操作系统的基础[3]。 Android 不仅依赖于 Linux 的进程,内存和文件系统管理,它也是 Android 安全架构中最重要的组件之一。 此图显示了 Android 安全体系结构的更详细的概述。我们将在本文中参考它来解释这个操作系统的特性。 在 Linux 内核层配置应用沙箱的过程如下。 这些针对 Android 的 Linux 内核补丁已经获得了 Paranoid 网络的名称。
83120编辑于 2022-12-01 - 来自专栏Debian中国
谷歌安全博客披露“ 英特尔内核漏洞 ”更多细节
去年的时候,Google 旗下 Project Zero 团队发现了一个由 CPU “ 预测执行 ” 导致的严重安全漏洞,而它也是一项被大多数现代处理器使用的性能优化方案。 在获悉这种新型攻击的第一时间,谷歌安全和产品开发团队就积极动员了起来,以保护自家系统和用户数据。 万幸的是,谷歌现已更新了系统和受影响的产品,可以防止这类新型攻击。 下面是当前已给出的产品清单:(未列出的 Google 产品需要用户自行采取额外的保护措施) ● Android(请更新至最新的安全补丁); ● Google Apps / G Suite(含 Gmail 需要指出的是,这个列表和产品的状态可能随着新的进展而改变,必要的情况下,Google 安全团队会对这篇博客的内容进行修改和更新:https://security.googleblog.com/2018/
57530发布于 2018-12-20 - 来自专栏腾讯云安全专家服务
腾讯云主机安全 Linux 内核漏洞升级参考指南(CentOS)
一、背景 Linux 内核漏洞相较于其它 Linux 软件漏洞,修复起来较为麻烦,本文章旨在指导运维人员根据 腾讯云主机安全 告警信息,对 Linux 内核漏洞进行修复,鉴于Linux 内核漏洞的危害及其对业务的影响 二、CentOS 升级内核方式2.1. 2.2.2、查看当前操作系统内核启动顺序通过查看当前操作系统内核启动顺序,并设置新的内核为第一优先级# 查看当前系统中的内核启动顺序,通过调整启动顺序,可指定系统重启后使用新的内容[root@VM-32 ,可通过一下命令指定使用编号为0的内核进行系统启动[root@VM-32-9-centos ~]# grub2-set-default 02.2.3、卸载旧版本内核包重启后,只有删除旧版本内核包,重新检测 ,会根据软件包版本判断,如果同时存在安全版本和漏洞版本,漏洞版本的软件包会被检测到,仍然会检出漏洞,请务必删除旧版本软件包后再复测。
4.6K71编辑于 2022-06-16 - 来自专栏人人都是极客
高薪诚聘|安全领域Linux内核驱动应用技术专家
安芯网盾拥有赶超国际的内存保护技术,核心团队成员自2005年就专注于信息安全攻防对抗产品的研发并斩获多项国际大奖,被评为具有发展潜力和行业价值的网络安全新创企业。 02 热招岗位一 岗位名称:Linux内核专家(高级) 岗位职责: 1.负责Linux主机安全产品方案设计、技术攻关; 2.负责Linux主机安全产品开发。 任职要求: 1.计算机基础扎实,行业不限,熟悉操作系统基本原理和数据结构; 2.熟悉Linux内核基础模块原理,有Linux内核开发经验; 3.具备良好的沟通能力和团队协作精神; 4.具备至少6年以上内核开发相关经验 任职要求: 1.精通C语言,熟悉Linux内核驱动开发; 2.熟悉内核进程,文件系统(VFS)、网络相关架构; 3.熟悉内核和应用层相关的hook技术; 4.有分析解决coredump的能力; 5.具备良好的沟通能力和团队协作精神 04 热招岗位三 岗位名称:Linux应用层开发工程师(中高级) 岗位职责: 1.研究Linux平台的安全机制,输出安全预研方案; 2.负责Linux安全产品研发。
86830编辑于 2022-04-06 - 来自专栏云云众生s
Linux内核6.13就绪:安全、性能和驱动程序更新
新版本为使用企业级系统的系统管理员和开发人员提供了更高的灵活性和安全性,以及更优越的性能。 更新的安全功能 内核 6.13 包括在称为领域的受保护执行环境中运行 Linux 虚拟机 (VM) 的支持,这些领域位于Arm 机密计算架构 (Arm CCA) 下。 它提供安全、AI 和高性能计算功能。具体来说,Arm CCA 引入了称为“领域”的隔离安全状态。Linux 6.13 内核正是利用了这些领域。 新内核还增加了对 64 位 Arm 处理器影子堆栈安全功能的支持,该功能保护用户空间应用程序并提高性能。 最后,内核更新的延迟抢占模型应该通过简化配置选项来提高性能。 文件系统更新 对各种 Linux 文件系统的重大改进增加了文件管理的安全性和稳定性。更改包括以下内容: XFS: 添加了原子写入支持,以在断电的情况下保护数据。
77510编辑于 2025-01-23 - 来自专栏韩曙亮的移动开发专栏
【Linux 内核】编译 Linux 内核 ⑦ ( 安装内核模块 | 安装内核 | 重启系统 | 查看当前内核版本 )
文章目录 一、安装内核模块 二、安装内核 三、重启系统 四、查看当前内核版本 一、安装内核模块 ---- 确保 Linux 内核编译完成 , 没有任何报错之后 ; 参考 【Linux 内核】编译 Linux 内核 ⑥ ( 安装 OpenSSL | 安装其它依赖库 | 内核编译完成 ) 博客 ; 进入 Linux 内核源码的根目录 , 执行 sudo make modules_install 命令 , 安装编译好的内核模块 irqbypass.ko DEPMOD 5.6.14 root@ubuntu:~/kernel/linux-5.6.14# root@ubuntu:~/kernel/linux-5.6.14# 二、安装内核 ---- 内核模块安装完成后 , 执行 sudo make install 命令 , 安装内核 ; 下面的内核安装过程会持续很长时间 ; 内核安装过程 : root@ubuntu:~# cd ---- 重启之后 , 在命令行终端执行 uname -a 命令 , 查看当前的内核版本 , 发现当前内核版本已经
19.8K50编辑于 2023-03-30 - 来自专栏运维小路
Linux内核-什么是内核
让我们了解和熟悉基本的Linux内核相关的信息,Linux内核我们主要从以下几个方面来讲解: Linux内核-什么是内核(本章节) Linux内核-内核参数 Linux内核-proc文件系统 Linux 内核-sys文件系统 Linux内核-tmpfs文件系统 我们都知道安卓手机,但是安卓手机有很多厂商。 什么是Linux内核 Linux 内核是Linux操作系统的核心部分,它是一个自由和开放源代码的类Unix操作系统内核。 安全性:Linux内核提供了多种安全机制,以保护系统免受恶意软件和未授权访问的影响。 稳定性与可靠性:Linux内核以其稳定性和可靠性而闻名,这对于服务器环境尤为重要。 Linux内核的官方网址就是https://www.kernel.org/ 本地内核文件 我们在Linux基础-linux目录介绍过/boot目录就是内核相关的的目录,这个是未升级内核之前的目录结构,可以和上面的内核版本进行对应
4.2K10编辑于 2024-11-01 【Linux内核及内核编程】Linux内核的组成
作为全球应用最广泛的开源操作系统内核,Linux内核不仅支撑着Android系统、云计算平台和超级计算机,更是理解现代操作系统原理的最佳实践样本。 一、源代码目录:打开内核世界的地图 典型内核源码目录结构(以Linux 5.15为例): linux-5.15/ ├── arch/ # 硬件架构代码(x86, arm, riscv 安全隔离:用户程序不能直接访问硬件(防止病毒破坏内存) 稳定保障:内核错误可能导致系统崩溃,用户程序崩溃通常只影响自身 权限分级:内核拥有最高权限(x86 的 Ring 0),用户程序在低权限(Ring 3) 3.2 内存空间划分(以 32 位系统为例) +------------------+ 4GB(虚拟地址空间) | 内核空间(3-4GB) | 所有进程共享,存放内核代码/数据 +----- 类比: 用户空间像普通居民区,内核空间像保护区。
55910编辑于 2026-01-21- 来自专栏HeaiKun
宏内核和微内核
宏内核 所有的内核代码都编译成一个二进制文件,所有的内核代码都运行在一个大内核地址空间里,内核代码可以直接调用和访问,效率高且性能好。 微内核 把操作系统分成多个独立的功能模块,每个功能模块之间访问需要通过消息来完成,因此效率没那么高。 宏内核和微内核的架构图如下: ? 宏内核和微内核的架构图 现代的操作系统中 windows 采用的就是微内核的方式,内核保留操作系统最基本的功能,进程调度,内存管理,通信等模块,其他功能放到用户态来实现。 Linus当初在设计Linux操作系统时采用的是宏内核架构。但是Linux在20年来的发展中,不断融入微内核的一些精华设计,如模块化设计,抢占式内核,动态加载内核模块等。 和微内核实现的模块化不一样,它和静态编译的内核函数一样,运行在内核中。
2.6K20发布于 2020-07-07 UCOSIII内核 VS FreeRTOS内核
UCOSIII内核 VS FreeRTOS内核 UCOS-III和FreeRTOS都是优秀的实时操作系统内核,但它们在设计哲学、性能和适用场景上有显著区别。 内存占用与内核裁剪 这是关键区别点,两者都支持裁剪,但方式不同: FreeRTOS: “空白画布” 哲学:从零开始。内核极小,默认只包含最核心的调度器。 结果:即使大幅裁剪,因其内核基础结构更复杂,最终体积通常仍大于最简配置的FreeRTOS(ROM ~15-25KB)。 内核架构 微内核,模块化 宏内核,集成化 FreeRTOS更灵活,UCOS-III更完整。 任务调度 固定时间片轮转 可定制时间片轮转 UCOS-III在调度上更精细。 安全认证 提供经过认证的版本(如FreeRTOS-MPU) 本身已通过多种行业安全认证(如DO-178B, IEC-61508) UCOS-III在安全攸关领域有深厚积累和优势。 四、 如何选择?
26310编辑于 2026-02-02- 来自专栏FreeBuf
KVMSEC:一个Linux内核虚拟机的安全扩展
本文介绍的这个架构,优点是增加全局系统安全。 在这篇论文中,我们提出一个结构叫:KvmSec,它是Linux内核虚拟机的扩展,目标是增加客户机的安全。 SecVisor的结果不适用于操作系统安全在服务器加固的场景。而且,他只是成功保护内核代码而不是内核数据。 Lares 是一个活动的使用虚拟化的结构,被放置在Xen虚拟机,并且在客户机上安装钩子程序。 四、KVMSEC一个安全监控结构 4.1 威胁模型 我们假定hypervisor和宿主机内核是可信计算基的一部分,然而,虚拟机并不是。当客户机运行时,攻击被执行,恶意软件也会注入。 而且,消息句柄被包含在客户机内核模块中为了使它尽可能的安全,和RQ2一致。在宿主机上,消息句柄是在Qemu-KVM共享内存管理模块中执行。 七、结论 在这篇论文中,我们提出一个扩展Linux内核虚拟机的结构:kvmsec。特别地,我们扩展KVM聚焦于安全,为虚拟机的实时完整性监控提供一个解决方案(KvmSec)。
1.8K11发布于 2019-12-17 - 来自专栏程序IT圈
Linux 内核 vs Windows 内核
操作系统核心的东西就是内核,这次我们就来看看,Linux 内核和 Windows 内核有什么区别? ---- 内核 什么是内核呢? 所以,这个中间人就由内核来负责,让内核作为应用连接硬件设备的桥梁,应用程序只需关心与内核交互,不用关心硬件的细节。 ? 内核 内核有哪些能力呢? 还有一种内核叫混合类型内核,它的架构有点像微内核,内核里面会有一个最小版本的内核,然后其他模块会在这个基础上搭建,然后实现的时候会跟宏内核类似,也就是把整个内核做成一个完整的程序,大部分服务都在内核中, PE 文件结构 ---- 总结 对于内核的架构一般有这三种类型: 宏内核,包含多个模块,整个内核像一个完整的程序; 微内核,有一个最小版本的内核,一些模块和服务则由用户态管理; 混合内核,是宏内核和微内核的结合体 ,内核中抽象出了微内核的概念,也就是内核中会有一个小型的内核,其他模块就在这个基础上搭建,整个内核是个完整的程序; Linux 的内核设计是采用了宏内核,Windows 的内核设计则是采用了混合内核。
19.7K30发布于 2021-03-07
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号