安全加固
权限检查
在主机检查teecd、tlogcat、libteec.so、libboundscheck.so的权限。
各文件的属主均为root。
ll /usr/bin/teecd -rwxr-xr-x 1 root root 67K Mar 8 17:04 /usr/bin/teecd ll /usr/bin/tlogcat -rwxr-xr-x 1 root root 66K Mar 8 17:04 /usr/bin/tlogcat ll /usr/lib64/libteec.so -rwxr-xr-x 1 root root 66K Mar 8 17:04 /usr/lib64/libteec.so ll /usr/lib64/libboundscheck.so -rwxr-xr-x 1 root root 130K Mar 8 17:04 /usr/lib64/libboundscheck.so
日志控制
- 检查tlogcat功能是否正常,是否可观测到TEE侧安全日志。
- 检查系统是否可以限制单个日志文件的大小。
- 检查日志空间占满后,是否存在机制进行清理。
- 检查正在写的日志文件权限是否为640。
用户控制
出于安全目的,TrustZone套件中的REE Patch(teecd、tzdriver.ko)必须以root身份运行,其中teecd用户态守护进程需要用绝对路径“/usr/bin/teecd”的方式加载。
上层CA和TA安全应用必须以root权限下运行加载,否则CA和TA无法通过REE Patch正常加载、通信。
缓冲区溢出安全保护
为阻止缓冲区溢出攻击,建议使用ASLR(Address space layout randomization)技术,通过堆、栈、共享库映射等线性区布局的随机化,增加攻击者预测目的地址的难度,防止攻击者直接定位代码位置,该技术可作用于堆、栈、内存映射区(mmap基址、shared libraries、vDSO页)。
开启方式:
echo 2 >/proc/sys/kernel/randomize_va_space
父主题: 安全管理