Como verificar si NX – eXecute Disable está habilitado

| Seguridad | 08/06/2020 |
Verificar si NX eXecute Disable esta habilitado

Como verificar si NX – eXecute Disable está habilitado o deshabilitado en linux.

La tecnología eXecute Disable (XD) o No eXecute (NX), es utilizada en procesadores para evitar que se ejecuten códigos malignos, por ejemplo gusanos.

En algunas BIOS, se ofrece la opción avanzada de habilitar o deshabilitar esta función. No es recomendable tenerla deshabilitada, a no ser a modo de pruebas en entornos específicos. En el artículo de hoy, verificamos el estado de eXecute Disable en un sistema basado en linux.

 

Como verificar si NX – eXecute Disable está habilitado

Vemos dos comandos diferentes para verificar esta importante protección.

dmesg | grep "Execute Disable"

Ejemplo de salida…

[sololinux@demo ~]# dmesg | grep «Execute Disable»
[       0.000000] NX (Execute Disable) protection: active

Otra opción.

journalctl -b | grep 'Execute Disable'

Impresión de salida…

[sololinux@host ~]# journalctl -b | grep ‘Execute Disable’
jun 04 11:49:46 host.demoserver.com kernel: NX (Execute Disable) protection: active

 

Ya comentamos anteriormente que no es recomendable deshabilitar la protección, pero si realmente  te resulta necesario puedes modificar el parámetro correspondiente en el kernel.

Buscas los parámetros «noexec» y «noexec32».

noexec		[X86]     <<<------------                   
   On X86-32 available only on PAE configured kernels.
   noexec=on: enable non-executable mappings (default)
   noexec=off: disable non-executable mappings

nosmap		[X86,PPC]
   Disable SMAP (Supervisor Mode Access Prevention)
   even if it is supported by processor.

nosmep		[X86,PPC]
   Disable SMEP (Supervisor Mode Execution Prevention)
   even if it is supported by processor.

noexec32	[X86-64]  <<<------------
   This affects only 32-bit executables.
   noexec32=on: enable non-executable mappings (default)
    read doesn't imply executable mappings
   noexec32=off: disable non-executable mappings
    read implies executable mappings

Una vez localizados, los sustituyes por…

noexec=off

noexec32=off

Guardas los cambios, y reinicias el sistema para que carguen los nuevos parámetros del kernel.

sudo reboot

Insisto en que no es recomendable deshabilitar esta función. Modifica solo en caso de extrema necesidad y con mucha prudencia.

 

Canales de Telegram: Canal SoloLinux – Canal SoloWordpress

Espero que este artículo te sea de utilidad, puedes ayudarnos a mantener el servidor con una donación (paypal), o también colaborar con el simple gesto de compartir nuestros artículos en tu sitio web, blog, foro o redes sociales.

 

Agregar comentario