Linux: config: CRYPTO_USER_API_AEAD

最近内核的加密算法出现一个漏洞,大家讨论有没有必要把这个加密算法删除,两方面的原因:

  1. 因为应用层早就有相应的库来实现这个算法,而且内核这块功能的用户不多
  2. 主要原因是这个模块出现的问题很多,不只是当前这一个漏洞

然后看了一下RHEL的配置,这个配置设置的是y:

c 复制代码
(root@us-rhel9):/root
$ grep CRYPTO_USER_API_AEAD /boot/conf*
/boot/config-5.14.0-570.21.1.el9_6.x86_64:CONFIG_CRYPTO_USER_API_AEAD=y
/boot/config-5.14.0-570.52.1.el9_6.x86_64:CONFIG_CRYPTO_USER_API_AEAD=y

也就是这一部分代码默认就编译到了内核,不少一个单独的模块。

所以就这些个安全性的问题来说,这个配置需要设置成可load的module;方便管理员来管理。

而且模块的管理非常的方便,比如加一个配置文件,就可以禁用这个功能。

对于很多最终用户,可能都用不到这个功能,为什么要加载,可加载呢?

这样就可以大大减小attack surface。

说不定需要重新考虑这些配置的默认设定,RHEL9上大约是4900个配置,里面有2300个是默认y,这些需要仔细的再看看

c 复制代码
(root@us-rhel9):/root
$ grep "^CON" /boot/config-5.14.0-570.21.1.el9_6.x86_64 | wc
   4870    4884  121274
(root@us-rhel9):/root
$ grep "^CON" /boot/config-5.14.0-570.21.1.el9_6.x86_64 | grep "=y" | wc
   2307    2307   57880
(root@us-rhel9):/root
$ grep "^CON" /boot/config-5.14.0-570.21.1.el9_6.x86_64 | grep "=m" | wc
   2395    2395   57723

为什么 AF_ALG 模块漏洞频繁?

c 复制代码
这与其设计架构的固有复杂性密切相关:
异步操作管理复杂,AF_ALG 大量使用异步加密请求(aio),对象生命周期难以精确追踪,极易引发 Use-After-Free 问题
用户态与内核态的边界交互, 数据在用户空间和内核空间之间传递,边界验证不足会引入内存越界或信息泄露
并发与竞态条件, 多线程/多进程同时操作同一加密套接字时,锁机制若有疏漏,就会产生竞态漏洞
历史遗留代码, AF_ALG 自 Linux 2.6.38 引入,部分底层逻辑较老,安全审计覆盖不够全面
攻击面广, 该接口对普通用户开放(非 root),是提权漏洞的热门攻击目标,因此受到安全研究者的持续关注

echo "install af_alg /bin/true" >> /etc/modprobe.d/disable-af_alg.conf

相关推荐
潘正翔5 小时前
docker核心概念
linux·运维·服务器·docker·容器·centos·运维开发
weigangwin6 小时前
agent-workspace-linux 不是远程桌面:Linux AI 工作区的隔离边界验收
linux·xvfb·mcp·桌面隔离·权限边界·bubblewrap·agent-workspace
Dovis(誓平步青云)7 小时前
远程办公软件文件传输实测:6 款工具的速度、稳定性和办公体验对比
linux·运维·服务器·后端·生成对抗网络
Java小白笔记8 小时前
Docker 安装配置完全指南:MacOS 、Windows、Linux环境下的安装、配置与验证
linux·macos·docker
csdn_aspnet8 小时前
GitHub Actions自动化运维实战,用CI/CD流水线实现测试、部署、安全扫描一体化
运维·安全·ci/cd·自动化·github
qetfw10 小时前
CentOS 7 搭建 LDAP 目录服务
linux·运维·centos
ChainSafeAI00310 小时前
以太坊利用AI挖掘漏洞成功发现安全缺陷,称人工审核仍不可替代
人工智能·安全
世***y10 小时前
开展夏季安全大检查 排隐患夯实安全基础
安全
ALINX技术博客10 小时前
【黑金云课堂】FPGA技术教程Linux开发:系统进阶-PS DMA
linux·fpga开发
一键生成网站11 小时前
AI原型工具企业需求分析:私有化部署与安全协作选购指南
人工智能·安全·需求分析·