内核加固检查器(kernel-hardening-checker)中的ARM64架构MMAP随机位检查问题分析

背景介绍

内核加固检查器是一个用于评估Linux内核安全配置的工具，它能够检查内核配置选项是否符合安全加固的最佳实践。在ARM64架构下，该工具对内存映射随机化位(CONFIG_ARCH_MMAP_RND_BITS)的检查存在一个需要特别注意的问题。

ARM64地址空间与页表结构

ARM64架构支持可配置的页大小和页表层级。在典型的Linux设备中，常见配置包括：

1. 4KB页大小配合3级页表：产生39位地址空间
2. 4KB页大小配合4级页表：产生48位地址空间

地址空间的大小直接影响地址空间布局随机化(ASLR)能够提供的熵值。更大的地址空间意味着攻击者更难猜测内存布局，从而提高安全性。

内存映射随机化位的计算问题

在48位地址空间(4级页表+4KB页)的配置下，预期的CONFIG_ARCH_MMAP_RND_BITS值应为33，而非32。这一差异导致工具检查失败，尽管实际值已经高于预期。

安全加固建议

1. 对于安全敏感的系统，建议使用4级页表配置以获得48位地址空间，这将提供更高的ASLR熵值
2. 在ARMv9设备(如Pixel 8)上，可以利用MTE(内存标签扩展)功能实现更精细的内存保护：
   • 使用保留标签实现16字节粒度的保护
   • 这比依赖页粒度保护更加灵活高效

工具实现细节

内核加固检查器通过动态方式处理CONFIG_ARCH_MMAP_RND_BITS检查：

1. 首先检查CONFIG_ARCH_MMAP_RND_BITS_MAX配置
2. 如果存在该配置，则使用其值作为预期值
3. 否则跳过检查以避免误报

这种设计确保了工具能够适应不同架构和配置下的正确检查需求。

结论

ARM64架构下的内存映射随机化检查需要特别注意地址空间大小和页表配置的影响。安全加固时应优先考虑能够提供更大地址空间的配置，并在支持MTE的设备上利用其高级内存保护特性。内核加固检查器通过动态调整检查逻辑，能够准确评估不同配置下的安全状态。