[ ] Allow slab caches to be merged
翻译:
说明:为了减少内核内存碎片,当slab缓存共享相同的大小和其他特性时,可以合并它们。这带来了内核堆溢出的风险——能够覆盖合并缓存中的对象(并且更容易控制缓存布局),这使得攻击者更容易利用此类堆攻击。通过保持缓存不合并,这类漏洞通常只能损坏同一缓存中的对象。要在运行时禁用合并,可以在内核命令行上传递“slab_nomerge”
[ ] Randomize slab freelist
翻译:
说明:随机化创建新页面时使用的自由列表顺序。这个安全特性降低了内核slab分配器对堆溢出的可预测性
[ ] Harden slab freelist metadata
翻译:
说明:许多内核堆攻击试图以slab缓存元数据和其它基础设施为(攻击)目标。这些选项在针对常见的自由列表利用开发方法强化内核slab分配器方面做出了较小的性能牺牲。一些slab实现比其它实现具有更多的健全性检查。此选项对于CONFIG_SLUB中最为有效
[ ] Enable SLUB performance statistics
翻译:
说明:SLUB统计信息有助于调试SLUB分配行为,以便找到优化分配器的方法。此项永远不应该为生产使用而启用(也就是说发布的产品中不应该启动此项),因为保持统计数据会使分配器慢几个百分点。slabinfo命令支持确定最活跃的slab,以确定哪些slab与特定荷载相关。
尝试运行:slabinfo-DA
[ ] SLUB per cpu partial cache
翻译:
说明:每cpu部分缓存加速了处理器本地的对象分配和释放,代价是释放的延迟更加不确定。溢出时,这些缓存将被清除,这需要获取可能导致延迟峰值的锁。对于实时系统,通常会选择“否”
[ ] Randomize slab caches for normal kmalloc
翻译:随机化普通kmalloc的slab缓存
说明:待确定作用
离线