]> git.proxmox.com Git - mirror_ubuntu-kernels.git/commitdiff
tcp: configurable source port perturb table size
authorGleb Mazovetskiy <glex.spb@gmail.com>
Mon, 14 Nov 2022 22:56:16 +0000 (22:56 +0000)
committerDavid S. Miller <davem@davemloft.net>
Wed, 16 Nov 2022 13:02:04 +0000 (13:02 +0000)
On embedded systems with little memory and no relevant
security concerns, it is beneficial to reduce the size
of the table.

Reducing the size from 2^16 to 2^8 saves 255 KiB
of kernel RAM.

Makes the table size configurable as an expert option.

The size was previously increased from 2^8 to 2^16
in commit 4c2c8f03a5ab ("tcp: increase source port perturb table to
2^16").

Signed-off-by: Gleb Mazovetskiy <glex.spb@gmail.com>
Reviewed-by: Kuniyuki Iwashima <kuniyu@amazon.com>
Signed-off-by: David S. Miller <davem@davemloft.net>
net/ipv4/Kconfig
net/ipv4/inet_hashtables.c

index e983bb0c50127059c735c9e989747c9215596784..2dfb12230f08943e52c39e36e22616db794cd1f7 100644 (file)
@@ -402,6 +402,16 @@ config INET_IPCOMP
 
          If unsure, say Y.
 
+config INET_TABLE_PERTURB_ORDER
+       int "INET: Source port perturbation table size (as power of 2)" if EXPERT
+       default 16
+       help
+         Source port perturbation table size (as power of 2) for
+         RFC 6056 3.3.4.  Algorithm 4: Double-Hash Port Selection Algorithm.
+
+         The default is almost always what you want.
+         Only change this if you know what you are doing.
+
 config INET_XFRM_TUNNEL
        tristate
        select INET_TUNNEL
index d3dc281566229479aa9027229a37973f8507d014..033bf3c2538fd2083127b73c7f40b6b032e59fc1 100644 (file)
@@ -906,13 +906,13 @@ EXPORT_SYMBOL_GPL(inet_bhash2_update_saddr);
  * Note that we use 32bit integers (vs RFC 'short integers')
  * because 2^16 is not a multiple of num_ephemeral and this
  * property might be used by clever attacker.
+ *
  * RFC claims using TABLE_LENGTH=10 buckets gives an improvement, though
- * attacks were since demonstrated, thus we use 65536 instead to really
- * give more isolation and privacy, at the expense of 256kB of kernel
- * memory.
+ * attacks were since demonstrated, thus we use 65536 by default instead
+ * to really give more isolation and privacy, at the expense of 256kB
+ * of kernel memory.
  */
-#define INET_TABLE_PERTURB_SHIFT 16
-#define INET_TABLE_PERTURB_SIZE (1 << INET_TABLE_PERTURB_SHIFT)
+#define INET_TABLE_PERTURB_SIZE (1 << CONFIG_INET_TABLE_PERTURB_ORDER)
 static u32 *table_perturb;
 
 int __inet_hash_connect(struct inet_timewait_death_row *death_row,