Admin Libre - Administración de sistemas y redes

Como desactivar KARL en OpenBSD
Por Francisco Gaitán el 25 de Abril de 2022

Cuando arranca OpenBSD se produce una reordenación de los objetos de las librerías (ASLR) y del kernel (KARL). Esto sirve para mejorar la seguridad del sistema, aunque en máquinas de 1GB o menos de RAM provoca el uso de memoria swap.

No es una práctica recomendada, aunque puede ser conveniente cuando es necesario minimizar el consumo de memoria. Aún desactivando estas funciones, en la instalación ambos espacios de direcciones están aleatorizados; la diferencia está en que no se reordenarán cada vez que inicie el sistema como ocurre con la configuración por defecto.

En configuraciones donde la memoria del servidor va muy justa es más que recomendable usar una cantidad de memoria swap de un poco más del doble para no necesitar reinstalar si en un futuro se le aumenta la memoria.

Desactivar KARL

Este método consiste en editar el archivo /var/db/kernel.SHA256 para que contenga:

SHA256 (/bsd) = NO

Para no tener que volver a escribir dicho archivo cada vez que se ejecuta sysupgrade se puede añadir esta línea al archivo /etc/rc.local:

echo "SHA256 (/bsd) = NO" > /var/db/kernel.SHA256

Importante: Cuando hay que aplicar un parche de ERRATA que implica kernel, antes de ejecutar syspatch hay que activar KARL ejecutando la siguiente línea como indica el log:

# sha256 -h /var/db/kernel.SHA256 /bsd

Al reiniciar se volverá a desactivar al estar en el archivo /etc/rc.local.

Cómo mantener KARL

Si no quieres renunciar a KARL, una solución puede ser reconstruir el kernel en otra máquina con más memoria de forma periódica como explica Nick Holland en @misc y distribuirlas con rdist(1) tal y como se explica en el artículo rdist(1) - when Ansible is too much.

Desactivar la reordenación de librerías

Si con desactivar KARL no es suficiente o por alguna razón es un problema reordenar las librerías al inicio, puedes desactivar esta funcionalidad de la siguiente forma:

# rcctl disable library_aslr 

Aunque supone un sacrificio de seguridad, ten en cuenta que en la instalación de OpenBSD el espacio de direcciones de las librerías queda aleatorizado.

Destacado

Contacto

Si has encontrado algún error o quieres comentarme algo mándame un correo a webmaster@adminlibre.org