Day-102-Linux 内核安全

# Day 106: Linux 内核安全

> 系统安全系列第 11 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

**PUA v3 · Sprint 启动** 
```
┌─────────┬────────────────────────────────────┐
│ 清单 任务 │ Linux 内核安全 - Day 106           │
├─────────┼────────────────────────────────────┤
│  味道 │  阿里味（自动：安全任务）        │
├─────────┼────────────────────────────────────┤
│  压力 │ L0 · 信任期                        │
└─────────┴────────────────────────────────────┘
```
▎ 收到需求，对齐目标，进入 sprint。Linux 内核安全是系统安全的核心——核心不稳，系统不稳。

---

## 清单 目录

1. [Linux 内核安全概述](#linux 内核安全概述)
2. [内核模块安全](#内核模块安全)
3. [内核参数加固](#内核参数加固)
4. [系统调用安全](#系统调用安全)
5. [内存保护机制](#内存保护机制)
6. [内核漏洞防护](#内核漏洞防护)
7. [安全模块进阶](#安全模块进阶)
8. [实战案例分析](#实战案例分析)
9. [总结与思考](#总结与思考)
10. [参考资料](#参考资料)

---

## Linux 内核安全概述

### 内核安全重要性

> ▎ 内核是操作系统的核心。核心不安全，系统就不安全。

**内核安全威胁**：
```
1. 内核漏洞
   - 权限提升
   - 拒绝服务
   - 信息泄露

2. 内核模块
   - 恶意模块
   - 模块漏洞
   - 模块签名

3. 内存攻击
   - 缓冲区溢出
   - 堆溢出
   - 释放后使用
```

**内核安全趋势**：
```
趋势 1: 加固机制
- KASLR
- SMEP/SMAP
- KPTI

趋势 2: 安全模块
- SELinux
- AppArmor
- Smack

趋势 3: 漏洞防护
- KASAN
- KCSAN
- UBSAN
```

---

## 内核模块安全

### 模块加载控制

> ▎ 内核模块是内核功能的扩展。扩展不安全，内核就不安全。

**模块签名**：
```bash
# 查看模块签名
modinfo module_name | grep signer

# 强制签名验证
# /etc/modprobe.d/secure-boot.conf
install * /bin/true

# 启用模块签名验证
# 内核启动参数
module.sig_enforce=1
```

**模块黑名单**：
```bash
# 黑名单配置
# /etc/modprobe.d/blacklist.conf
blacklist floppy
blacklist cramfs
blacklist freevxfs
blacklist jffs2
blacklist hfs
blacklist hfsplus
```

### 模块加载限制

**限制模块加载**：
```bash
# 禁用模块加载
echo 1 > /proc/sys/kernel/modules_disabled

# 永久禁用
# /etc/sysctl.d/kernel-security.conf
kernel.modules_disabled = 1

# 限制模块加载权限
# 仅允许 root 加载
chmod 700 /sbin/insmod
chmod 700 /sbin/modprobe
```

---

## 内核参数加固

### sysctl 加固

> ▎ 内核参数是内核行为的配置。配置不安全，行为就不安全。

**网络参数加固**：
```bash
# /etc/sysctl.d/99-network-security.conf

# 禁用 IP 转发
net.ipv4.ip_forward = 0

# 禁用源路由
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# 禁用 ICMP 重定向
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# 启用 SYN Cookies
net.ipv4.tcp_syncookies = 1

# 启用反向路径过滤
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# 记录可疑包
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1

# 忽略 ICMP 广播
net.ipv4.icmp_echo_ignore_broadcasts = 1

# 应用配置
sysctl -p /etc/sysctl.d/99-network-security.conf
```

**内存保护参数**：
```bash
# /etc/sysctl.d/99-memory-security.conf

# 限制核心转储
fs.suid_dumpable = 0

# 限制 mmap
vm.mmap_min_addr = 65536

# 随机化虚拟地址空间
kernel.randomize_va_space = 2

# 应用配置
sysctl -p /etc/sysctl.d/99-memory-security.conf
```

---

## 系统调用安全

### 系统调用限制

> ▎ 系统调用是用户空间与内核空间的接口。接口不安全，系统就不安全。

**seccomp 配置**：
```bash
# 启用 seccomp
# 编译内核时启用
CONFIG_SECCOMP=y
CONFIG_SECCOMP_FILTER=y

# 使用 seccomp-bpf
# 限制系统调用
```

**seccomp 配置文件**：
```json
{
  "defaultAction": "SCMP_ACT_ERRNO",
  "syscalls": [
    {
      "name": "read",
      "action": "SCMP_ACT_ALLOW"
    },
    {
      "name": "write",
      "action": "SCMP_ACT_ALLOW"
    },
    {
      "name": "exit",
      "action": "SCMP_ACT_ALLOW"
    }
  ]
}
```

**Docker 使用 seccomp**：
```bash
# 运行容器时使用 seccomp
docker run --security-opt seccomp=/path/to/seccomp.json alpine

# 禁用 seccomp（危险）
docker run --security-opt seccomp=unconfined alpine
```

---

## 内存保护机制

### KASLR

> ▎ KASLR 是内核地址空间布局随机化。随机化是内存保护的基础。

**KASLR 配置**：
```bash
# 检查 KASLR 状态
cat /proc/cmdline | grep kaslr

# 启用 KASLR
# 内核启动参数
kaslr

# 禁用 KASLR（调试用）
nokaslr
```

### SMEP/SMAP

**SMEP（Supervisor Mode Execution Prevention）**：
```
防止内核执行用户空间代码
- 防止用户空间代码注入
- 防止返回导向编程
```

**SMAP（Supervisor Mode Access Prevention）**：
```
防止内核访问用户空间数据
- 防止数据泄露
- 防止权限提升
```

**检查支持**：
```bash
# 检查 CPU 标志
grep -E 'smep|smap' /proc/cpuinfo

# 查看内核支持
dmesg | grep -E 'SMEP|SMAP'
```

### KPTI

**KPTI（Kernel Page Table Isolation）**：
```
隔离内核和用户页表
- 防止 Meltdown 攻击
- 减少侧信道攻击
- 性能影响 5-30%
```

**检查状态**：
```bash
# 检查 KPTI 状态
cat /sys/devices/system/cpu/vulnerabilities/meltdown

# 启用/禁用
# 内核启动参数
pti=on
pti=off
```

---

## 内核漏洞防护

### 漏洞扫描

**内核漏洞扫描工具**：
```bash
# Linux Exploit Suggester
wget https://raw.githubusercontent.com/mzetko/les/master/les.sh
bash les.sh

# Linux Smart Enumeration
wget https://raw.githubusercontent.com/diego-treitos/linux-smart-enumeration/master/lse.sh
bash lse.sh -l 2
```

### 漏洞防护

**内核更新**：
```bash
# 定期更新内核
apt update
apt upgrade linux-image-generic

# 查看当前内核
uname -r

# 查看可用内核
apt list --upgradable | grep linux-image
```

**内核加固**：
```bash
# 使用 Grsecurity（付费）
# 使用 Kernel Hardening Checklists
# https://github.com/a13xp0p0v/kernel-hardening-checker

# 运行检查
./kernel-hardening-checker
```

---

## 安全模块进阶

### SELinux 进阶

**策略管理**：
```bash
# 查看 SELinux 状态
getenforce
sestatus

# 临时禁用
setenforce 0

# 永久禁用
# /etc/selinux/config
SELINUX=disabled

# 查看布尔值
getsebool -a

# 设置布尔值
setsebool -P httpd_can_network_connect on
```

**自定义策略**：
```bash
# 生成策略
audit2allow -a -M mypolicy

# 安装策略
semodule -i mypolicy.pp

# 查看策略
semodule -l
```

### AppArmor 进阶

**配置文件**：
```bash
# 配置文件位置
/etc/apparmor.d/

# 查看状态
aa-status
apparmor_status

# 重新加载配置
apparmor_parser -r /etc/apparmor.d/usr.bin.apache2
```

**自定义配置**：
```apparmor
# /etc/apparmor.d/usr.bin.myapp
/usr/bin/myapp {
  #include <abstractions/base>
  
  /var/log/myapp.log rw,
  /etc/myapp.conf r,
  /var/lib/myapp/** rw,
  
  network inet tcp,
  
  capability chown,
  capability setuid,
}
```

---

## 实战案例分析

### 案例 1: 内核提权漏洞

**漏洞描述**：
```
时间：2021 年
漏洞：Dirty Pipe (CVE-2022-0847)
影响：本地提权
后果：root 权限
```

**攻击流程**：
```
1. 信息收集
   - 内核版本
   - 系统配置

2. 漏洞利用
   - Dirty Pipe Exploit
   - 覆盖任意文件

3. 权限提升
   - 覆盖/etc/passwd
   - 添加 root 用户

4. 持久化
   - 创建后门账户
   - 安装 rootkit
```

**防护方案**：
```
1. 内核更新
   - 升级到 5.10.102+
   - 升级到 5.15.25+
   - 升级到 5.16.11+

2. 最小权限
   - 限制用户权限
   - 限制文件访问

3. 监控检测
   - 监控文件修改
   - 监控异常行为
```

### 案例 2: 内核模块攻击

**漏洞描述**：
```
时间：2020 年
漏洞：恶意内核模块
影响：内核后门
后果：完全控制
```

**攻击流程**：
```
1. 编译恶意模块
   - 隐藏进程
   - 隐藏文件
   - 隐藏网络连接

2. 加载模块
   - 利用漏洞加载
   - 绕过签名验证

3. 持久化
   - 添加到启动
   - 隐藏自身

4. 后门功能
   - 远程访问
   - 数据窃取
   - 命令执行
```

**防护方案**：
```
1. 模块签名
   - 强制签名验证
   - 安全启动

2. 模块限制
   - 禁用模块加载
   - 模块黑名单

3. 监控检测
   - 监控模块加载
   - 监控内核调用
```

---

统计 **Sprint 交付 · 绩效评估**
```
┌───────────────┬────────────────┬────────────────┐
│  主动出击   │ ██████████ 5/5 │ [PUA 生效] 充足 │
├───────────────┼────────────────┼────────────────┤
│ + 验证闭环   │ ██████████ 5/5 │ 案例完整       │
├───────────────┼────────────────┼────────────────┤
│ 设计 代码质量   │ ████████░░ 4/5 │ 有改进空间     │
└───────────────┴────────────────┴────────────────┘
综合：3.75
```
▎ 勉强配得上 P8。别飘——Linux 内核安全这才刚入门。

---

## 总结与思考

### 核心要点回顾

> ▎ 复盘四步法：回顾目标、评估结果、分析原因、总结经验。别跳过——这是闭环。

**内核模块**：
```
1. 模块签名
   - 强制验证
   - 安全启动
   - 证书管理

2. 模块限制
   - 黑名单
   - 白名单
   - 加载限制

3. 监控检测
   - 模块加载监控
   - 模块行为监控
   - 异常检测
```

**内核参数**：
```
1. 网络参数
   - 禁用源路由
   - 禁用重定向
   - 启用 SYN Cookies

2. 内存参数
   - 限制核心转储
   - 地址随机化
   - mmap 限制

3. 安全模块
   - SELinux
   - AppArmor
   - seccomp
```

**内存保护**：
```
1. KASLR
   - 地址随机化
   - 防止信息泄露

2. SMEP/SMAP
   - 防止执行用户代码
   - 防止访问用户数据

3. KPTI
   - 页表隔离
   - 防止 Meltdown
```

### 深入思考问题

> ▎ 只动手不动脑，那是码农。动手又动脑，才是工程师。

**零信任内核**：
```
1. 持续验证
   - 模块验证
   - 调用验证
   - 数据验证

2. 微隔离
   - 地址空间隔离
   - 权限隔离
   - 资源隔离

3. 动态授权
   - 基于上下文
   - 实时调整
   - 最小权限
```

**AI 辅助安全**：
```
1. 异常检测
   - 行为分析
   - 模式识别
   - 风险评分

2. 自动响应
   - 自动阻断
   - 自动修复
   - 自动告警

3. 威胁情报
   - 漏洞情报
   - 攻击情报
   - 威胁狩猎
```

**云原生内核**：
```
1. 容器内核
   - 轻量内核
   - 专用内核
   - 安全内核

2. 无服务器
   - 函数安全
   - 事件安全
   - 依赖安全

3. 边缘计算
   - 边缘节点
   - 延迟优化
   - 安全隔离
```

### 实战建议

> ▎ 我给你指了路，走不走是你的事。机会给了，抓不抓得住看你。

**系统管理员**：
```
1. 安全配置
   - 内核参数
   - 安全模块
   - 模块管理

2. 持续监控
   - 日志分析
   - 入侵检测
   - 漏洞扫描

3. 定期更新
   - 内核更新
   - 补丁管理
   - 漏洞修复
```

**安全人员**：
```
1. 安全审计
   - 配置审计
   - 权限审计
   - 日志审计

2. 渗透测试
   - 漏洞扫描
   - 提权测试
   - 内核测试

3. 事件响应
   - 入侵检测
   - 快速响应
   - 溯源分析
```

**架构师**：
```
1. 安全设计
   - 最小权限
   - 网络隔离
   - 纵深防御

2. 持续改进
   - 安全审计
   - 漏洞管理
   - 安全培训

3. 工具链
   - 安全工具
   - 自动化
   - 监控平台
```

---

## 参考资料

### 学习资源
```
- Linux Kernel Documentation
  https://www.kernel.org/doc/html/latest/

- Kernel Hardening
  https://github.com/a13xp0p0v/kernel-hardening-checker

- CIS Linux Benchmark
  https://www.cisecurity.org/benchmark/linux
```

### 工具资源
```
- Linux Exploit Suggester
  https://github.com/mzetko/les

- Linux Smart Enumeration
  https://github.com/diego-treitos/linux-smart-enumeration

- Lynis
  https://cisofy.com/lynis/
```

### 书籍推荐
```
- 《Linux 内核安全》
- 《Linux Kernel Security》
- 《Rootkits and Bootkits》
- 《A Guide to Kernel Exploitation》
```

### 在线资源
```
- OWASP Linux Security
  https://owasp.org/www-project-linux-security/

- Kernel Self Protection Project
  https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project

- Awesome Linux Security
  https://github.com/1ndianl33t/Awesome-Linux-Security
```

---

**标记 明日预告**：Day 107 - Windows 内核安全

> ▎ 今天的内容消化了吗？消化了就继续——明天还有硬仗。

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 106 篇，系统安全部分第 11 篇，精编版本*