OpenBSD 将在每次重启后都使用和之前不同的内核
OpenBSD 近期在测试快照中引入了一个有趣的内核安全特性:每次系统重启或升级后,都会生成一个内部结构完全不同的新内核。这个名为 KARL(内核地址随机化链接)的功能,通过随机重组内核内部目标文件的链接顺序,使得每个用户的内核二进制文件都是独特的。 与我们常听到的 ASLR(地址空间布局随机化)不同,KARL 并不改变内核加载到内存的地址,而是在构建阶段就改变了内核自身的内部结构。这样一来,即使攻击者掌握了某个内核的漏洞,也无法轻易利用已知的函数偏移信息去攻击另一台机器上的 OpenBSD 系统,因为它们的内核“指纹”截然不同。 文章指出,这是一个目前 OpenBSD 独有的功能。Linux 和 Windows 虽然广泛采用了 KASLR(将相同的内核加载到随机内存地址),但并未实现 KARL 这种在二进制层面的随机化。多位安全专家在文中评价这一设计思路新颖且具有价值,认为它可能为其他操作系统平台的内核防护带来新的启发。