Linux 可以配置为要求内核模块进行数字签名。在为嵌入式设备和消费设备(即平板电脑、智能手机等)构建的内核上,我仍然可以看到,如果两个内核使用相同的密钥,则这会为使用为旧版本制作的模块来利用新版本留下一个漏洞。 Linux 是否提供了拒绝从不同版本加载内核模块的功能?
答案1
除非您选择CONFIG_MODVERSIONS,否则内核将拒绝加载尚未为其自身编译的模块。另外,请确保CONFIG_MODULE_FORCE_LOAD未选择。
内核模块版本强制
Linux 可以配置为要求内核模块进行数字签名。在为嵌入式设备和消费设备(即平板电脑、智能手机等)构建的内核上,我仍然可以看到,如果两个内核使用相同的密钥,则这会为使用为旧版本制作的模块来利用新版本留下一个漏洞。 Linux 是否提供了拒绝从不同版本加载内核模块的功能?
除非您选择CONFIG_MODVERSIONS,否则内核将拒绝加载尚未为其自身编译的模块。另外,请确保CONFIG_MODULE_FORCE_LOAD未选择。