PetaLinux 内核安全加固实战:从攻击面裁剪到运行时防护
你有没有遇到过这样的场景?设备已经部署在现场,突然收到一条安全通告:“某 Linux 内核 netfilter 漏洞(CVE-2021-22555)可导致远程代码执行。” 你赶紧登录设备执行lsmod,心里一沉——“糟糕,这个模块居然在跑!”
这正是我们今天要解决的问题。在嵌入式系统中,一个默认配置的内核,往往就是最大的安全隐患。
PetaLinux 作为 Xilinx(现 AMD)为 Zynq、Zynq UltraScale+ 和 Versal 等异构 SoC 提供的完整开发套件,功能强大,但其默认配置为了兼容性和调试便利,开启了大量不必要的内核特性。这些看似无害的功能,在生产环境中却可能成为攻击者的跳板。
本文不讲空泛理论,而是带你一步步动手实践,如何通过精准的内核配置裁剪与运行时参数强化,将 PetaLinux 内核从“通用开发版”蜕变为“生产级安全内核”。我们将聚焦“最小化攻击面”这一核心策略,把每一个配置项背后的原理、风险和取舍都讲清楚。
为什么说默认内核是“高危资产”?
先来看一组真实数据:在一个典型的 PetaLinux 默认构建中:
/proc/kcore可访问debugfs被挂载- 支持动态加载
.ko模块 - 启用了
KGDB、SysRq等调试接口 - 包含数百个未使用的
iptables match/target模块
这意味着什么?
- 信息泄露:攻击者一旦提权,就能读取内核内存布局,KASLR 形同虚设。
- 持久化驻留:可通过
insmod加载 rootkit,实现开机自启。 - 漏洞利用便利化:调试接口可能绕过保护机制,或暴露符号地址。
更关键的是,这些功能对大多数嵌入式设备来说毫无用处。你的工业控制器需要 NAT 吗?你的 IoT 终端需要动态加载驱动吗?不需要。那为什么要留着这些“定时炸弹”?
安全的第一步,不是加多少层防火墙,而是先把不该开的门关上。
内核配置裁剪:五个关键动作,彻底收缩攻击面
1. 关闭调试后门:CONFIG_DEBUG_KERNEL及其子项
很多开发者习惯性保留调试功能,觉得“万一出问题好排查”。但在生产环境中,这等于给攻击者提供了“内核说明书”。
# project-spec/meta-user/recipes-kernel/linux/files/defconfig CONFIG_DEBUG_KERNEL=n CONFIG_DEBUG_FS=n CONFIG_MAGIC_SYSRQ=n CONFIG_KGDB=n CONFIG_EARLY_PRINTK=y # 若需启动日志,保留但应限制串口访问权限重点说明:
CONFIG_DEBUG_FS=n:移除/sys/kernel/debug,防止通过 debug 接口操纵硬件或探测内核状态。CONFIG_MAGIC_SYSRQ=n:禁用 SysRq 键(如 Alt+SysRq+K 强制杀死所有进程),否则攻击者可通过串口执行任意命令。CONFIG_KGDB=n:关闭内核远程调试,避免暴露符号和断点控制。
🛠️ 实践建议:维护两套配置文件,
dev_defconfig(开启调试)用于开发阶段,prod_defconfig(关闭调试)用于发布构建,通过 CI 流程自动切换。
2. 禁用模块加载:斩断 rootkit 的生命线
CONFIG_MODULES是最常被忽视的高危选项。启用它意味着任何人都能向内核注入代码。
CONFIG_MODULES=n CONFIG_MODULE_UNLOAD=n这意味着什么?
- 所有驱动必须静态编译进内核(使用
[*]而非<M>)。 insmod、rmmod、modprobe命令失效。- 根本无法加载外部
.ko文件。
好处显而易见:
- 彻底杜绝恶意模块注入。
- 减少内核体积(通常节省 5%~15%)。
- 提升启动速度(无需模块依赖解析)。
⚠️ 注意事项:如果你的设备需要 FPGA 动态重配置、热插拔外设或 OTA 更新驱动,则必须保留模块支持。此时应启用模块签名验证(
CONFIG_MODULE_SIG=y),确保只有可信签名的模块才能加载。
3. 移除内存映像:CONFIG_PROC_KCORE=n
/proc/kcore是一个虚拟文件,大小等于物理内存,内容是整个内核空间的可读映像。虽然普通用户无法访问,但一旦攻击者获得 root 权限,它就成了“内核内存扫描仪”。
CONFIG_PROC_KCORE=n为什么必须关?
- KASLR(内核地址空间布局随机化)的核心是“不让攻击者知道地址”。但有了
kcore,攻击者可以直接读出函数偏移,KASLR 直接失效。 - 无任何功能性用途,纯属调试残留。
关闭后,/proc/kcore不再存在,即使 root 也无法获取完整内存布局。
4. 裁剪 netfilter 高级匹配:只保留真正需要的
PetaLinux 默认启用了大量 iptables 扩展模块,如字符串匹配、时间匹配、用户匹配等。这些模块不仅增加复杂度,还曾曝出多个漏洞(如 CVE-2019-14896)。
CONFIG_NETFILTER_XT_MATCH_STRING=n CONFIG_NETFILTER_XT_MATCH_TIME=n CONFIG_NETFILTER_XT_MATCH_OWNER=n CONFIG_NETFILTER_XT_MATCH_ADDRTYPE=n我们的原则是:
- 只保留基础防火墙功能:
state、conntrack、iprange、limit。 - 其他高级匹配按需启用。例如,若要做 URL 过滤,应在用户态用 Suricata 或轻量 DPI 框架实现,而非依赖内核模块。
这样做的好处是:网络栈更简单、更稳定、更安全。
5. 最小化 NAT 功能:终端设备不需要做网关
CONFIG_IP_NF_TARGET_MASQUERADE用于实现共享上网,常见于路由器。但如果你的设备只是终端节点(如传感器、控制器),完全不需要此功能。
CONFIG_IP_NF_TARGET_MASQUERADE=n更进一步,如果设备不充当网关,连 NAT 和 conntrack 都可以禁用:
CONFIG_NF_NAT=n CONFIG_NF_CONNTRACK=n收益:
- 节省内存(conntrack 表占用可观)
- 减少内核路径复杂度
- 规避 conntrack 相关漏洞(如 CVE-2021-22555)
✅ 验证方法:启动后执行
cat /proc/net/ip_conntrack,若提示“No such file”,说明 conntrack 已关闭。
运行时加固:让内核行为更“防呆”
编译期裁剪只是第一步。我们还需要通过sysctl参数,在运行时进一步收紧内核行为。
将以下配置写入project-spec/rootfs/configs/sysctl.conf:
# 防止空指针解引用攻击 vm.mmap_min_addr = 65536 # 屏蔽内核指针泄露(dmesg、/proc/version 等) kernel.kptr_restrict = 2 # 限制 dmesg 访问,仅 CAP_SYSLOG 可读 kernel.dmesg_restrict = 1 # 禁止 setuid 程序生成 core dump,防止密钥泄露 fs.suid_dumpable = 0 # 禁用 ICMP 重定向,防止路由劫持 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 # 忽略广播 ping,缓解 Smurf 攻击 net.ipv4.icmp_echo_ignore_broadcasts = 1如何生效?
在meta-user/conf/image/local.conf.append中添加:
IMAGE_INSTALL_append += " sysctl-conf"PetaLinux 会自动将sysctl.conf注入根文件系统,并在启动时由sysctl服务加载。
实战案例:工业边缘网关的安全加固流程
以一个典型的工业边缘网关为例,其角色是采集 PLC 数据并通过 MQTT 上报云端,不提供 NAT、不支持模块加载、无需远程调试。
加固步骤如下:
需求分析
- 必需功能:Ethernet、UART、SPI、GPIO、MQTT 客户端
- 无需功能:NAT、USB Host、HDMI、Bluetooth、动态模块内核配置
bash petalinux-config -c kernel
- 进入Kernel hacking→ 全部关闭
- 进入Device Drivers→ 仅启用必需硬件驱动,其余设为n
- 进入Networking support→ 关闭 unused xt_match 和 MASQUERADE
- 设置Enable loadable module support为n构建与验证
bash petalinux-build petalinux-boot --qemu --image ./images/linux/qemu_boot.bin
启动后验证:bash ls /proc/kcore # 应不存在 lsmod # 应为空或报错 cat /proc/sys/kernel/kptr_restrict # 应为 2 dmesg | grep "kaslr" # 应显示 "KASLR enabled"
- 持续集成
- 将prod_defconfig和sysctl.conf纳入 Git 管理
- 编写 CI 脚本自动检查:- 内核配置是否包含
DEBUG_KERNEL=y lsmod是否可执行kptr_restrict是否为 2
- 内核配置是否包含
常见问题与应对策略
| 问题 | 解决方案 |
|---|---|
| 怎么判断哪些驱动可以关? | 制作《硬件功能清单表》,逐项确认。不确定的,先保留,后续通过ftrace或perf分析实际调用路径。 |
| 关闭模块后如何更新驱动? | 驱动必须随内核一起更新。采用 A/B 分区 + 安全启动(Secure Boot),确保固件完整性。 |
| 调试太难了,怎么办? | 开发阶段使用dev_defconfig,保留调试功能;发布前切换为prod_defconfig。或使用 JTAG 调试,不依赖内核调试接口。 |
| OTA 升级受影响吗? | 不影响应用层 OTA。但内核变更需整包升级。建议在 Bootloader 阶段验证内核签名,防止降级攻击。 |
写在最后:安全不是功能,而是设计哲学
很多人把安全当成“附加功能”,总想着“先做出来,再加固”。但真正的安全,必须从设计之初就融入基因。
在 PetaLinux 项目中,内核配置就是第一道防线。我们所做的每一个=n决定,都是在践行“最小化”原则:只运行必要的代码,只开放必要的接口,只暴露必要的信息。
这种“默认拒绝”的思维模式,远比事后打补丁更有效。因为攻击者永远无法利用一个根本不存在的功能。
所以,下次当你创建一个新的 PetaLinux 工程时,别急着petalinux-build。先停下来问自己一句:
“这个功能,我的设备真的需要吗?”
如果答案是否定的,那就果断关掉。每一次裁剪,都是在为系统多加一层护盾。
如果你正在做类似项目,欢迎在评论区分享你的安全实践。我们一起,把嵌入式系统的地基打得更牢。
