EN
注册
我要评分
文档获取效率
文档正确性
内容完整性
文档易理解
在线提单
论坛求助
鲲鹏小智

安全加固

权限检查

在主机检查teecd、tlogcat、libteec.so、libboundscheck.so的权限。

各文件的属主均为root。

ll /usr/bin/teecd
-rwxr-xr-x 1 root root 67K Mar 8 17:04 /usr/bin/teecd

ll /usr/bin/tlogcat
-rwxr-xr-x 1 root root 66K Mar 8 17:04 /usr/bin/tlogcat

ll /usr/lib64/libteec.so
-rwxr-xr-x 1 root root 66K Mar 8 17:04 /usr/lib64/libteec.so

ll /usr/lib64/libboundscheck.so
-rwxr-xr-x 1 root root 130K Mar 8 17:04 /usr/lib64/libboundscheck.so

日志控制

  • 检查tlogcat功能是否正常,是否可观测到TEE侧安全日志。
  • 检查系统是否可以限制单个日志文件的大小。
  • 检查日志空间占满后,是否存在机制进行清理。
  • 检查正在写的日志文件权限是否为640。

用户控制

出于安全目的,TrustZone套件中的REE Patch(teecd、tzdriver.ko)必须以root身份运行,其中teecd用户态守护进程需要用绝对路径“/usr/bin/teecd”的方式加载。

上层CA和TA安全应用必须以root权限下运行加载,否则CA和TA无法通过REE Patch正常加载、通信。

缓冲区溢出安全保护

为阻止缓冲区溢出攻击,建议使用ASLR(Address space layout randomization)技术,通过堆、栈、共享库映射等线性区布局的随机化,增加攻击者预测目的地址的难度,防止攻击者直接定位代码位置,该技术可作用于堆、栈、内存映射区(mmap基址、shared libraries、vDSO页)。

开启方式:

echo 2 >/proc/sys/kernel/randomize_va_space
搜索结果
找到“0”个结果

当前产品无相关内容

未找到相关内容,请尝试其他搜索词