内核的安全性和最小化编译
为了减少内核中运行代码的复杂性,尽量不要将不需要的功能编译进内核。从正常运行的内核中移除不需要的代码有助于最大限度的减少代码中尚未发现的漏洞抽带来的风险。
例如,你不需要日志记录支持,只需不在menuconfig界面中启用"Log Target Support"先项即可,如果你不需要对FTP的连接状态进行跟踪,只需禁用"FTP Protocol Support"先项。如果你不需要针对以太网帧头中的MAC编写过滤规则只需禁用"MAC Address March Support"选项。
你应该只在内核中编译用于满足本地网络和(或)主机的网络与安全需求所绝对必须的功能。
uddtm 2009-08-30
« 上一篇:
可加载内核模块与内置编译和安全 ¦ 下一篇:
iptables中的表和链 »
网站地图
