Linux系统内核首次加入锁定功能

Linux之父林纳斯·托瓦兹（Linus Torvalds）上周六宣布在新版Linux系统内核中首次加入锁定功能。

这项名为“lockdown”的Linux内核新安全功能将作为LSM（Linux安全模块）出现在即将发布的Linux 5.4版本当中。

该功能默认情况下处于关闭状态，由于存在破坏现有系统的风险，因此用户可选使用。这项新功能的主要目的是通过防止root帐户与内核代码进行交互来加强用户态进程与内核代码之间的鸿沟。

启用后，新的“锁定”功能将限制Linux某些内核功能，即使对于root用户也是如此，这使得受到破坏的root帐户更难于破坏其余的系统内核。

托瓦兹表示：“启用后，各种内核功能都受到限制。 ” 这包括限制对内核功能的访问，这些功能可能允许通过用户级进程提供的代码执行任意代码；阻止进程写入或读取/ dev / mem和/ dev / kmem内存；阻止对打开/ dev / port的访问，以防止原始端口访问；加强内核模块签名等。

Linux是一种自由和开放源码的类UNIX *** 作系统。该 *** 作系统的内核由林纳斯·托瓦兹在1991年10月5日首次发布。在加上用户空间的应用程序之后，成为 Linux *** 作系统。Linux也是最著名的自由软件和开放源代码软件。只要遵循GNU 通用公共许可证（GPL），任何个人和机构都可以自由地使用Linux 的所有底层源代码，也可以自由地修改和再发布。

swap是一块磁盘空间或者一个本地文件/proc/sys/vm/swappiness 可以设置服务器使用 swap 的积极程度。取值范围为0-100，值越大，越积极使用swap，更倾向于回收匿名页值越小，越消极使用swap，更倾向于回收文件页。 即使swap设置为0，当剩余内存+文件页小于页高阈值（ pages_high ）的时候，也会发生swap Linux有专门的内核线程 kswapd0 定期回收内存，为了衡量内存的使用情况， kswapd0 定义了三个内存阈值：页最小阈值 pages_min 、页低阈值 pages_low 和页高阈值 pages_high ，剩余内存使用 pages_free 表示。kswapd0 定期扫描内存的使用情况，并根据剩余内存和这三个阈值的关系进行内存回收 *** 作。pages_free <pages_min ：进程可用内存耗尽，只有内核才可以分配内存pages_min <pages_free <pages_low ：内存压力较大， kswapd0 会执行内存回收，直到剩余内存大于高阈值为止pages_low <pages_free <pages_high ：内存有一定压力，但还可以满足新内存请求pages_free >pages_high ：剩余内存较多，没有内存压力。 这些阈值可以通过内核选项来 proc/sys/vm/min_free_kbytes 间接设置。 min_free_kbytes 设置了页最小阈值（ pages_min ）。 pages_low=pages_min*5/4 , pages_high=pages_min*3/2 /etc/security/limits.conf通过这个配置文件可以对每个登录的会话进行限制，这种限制不是全局的，也不是永久的，只在会话期间起作用。 通常，对单个用户的限制优先级高于对用户组的限制 可以使用以下方式限制内存使用 语法<domain><type><item><value> 详见 limits.conf(5) - Linux man page /proc/sys/vm/overcommit_memory 控制内核使用虚拟内存的模式，可以设置为以下值

---