Zprávy to nedávno zlomily Linus Torvalds přijal novou komponentu, která bude součástí budoucí verze jádra „Linux 5.4“. tato nová komponenta má název „Uzamčení“, které navrhl David Howells (který již tuto komponentu implementoval do jádra Red Hat) a Matthew Garrett (vývojář Google).
Hlavní funkcí uzamčení je omezit přístup uživatele root k jádru systému a tato funkce byl přesunut do modulu LSM volitelně načten (Linux Security Module), který vytváří bariéru mezi UID 0 a jádrem, což omezuje určité funkce nízké úrovně.
To umožňuje, aby funkce uzamčení byla spíše založená na zásadách než pevném kódování implicitní politiky v rámci mechanismu, zámek zahrnutý v modulu zabezpečení Linux poskytuje implementaci s jednoduchou zásadou určené pro všeobecné použití. Tato zásada poskytuje úroveň granularity, kterou lze ovládat pomocí příkazového řádku jádra.
Tato ochrana přístupu k jádru je způsobena skutečností, že:
Pokud se útočníkovi v důsledku útoku podaří spustit kód s oprávněním root, může svůj kód spustit také na úrovni jádra, například nahradit jádro kexecem nebo číst a / nebo zapisovat paměť prostřednictvím / dev / kmem.
Nejviditelnějším důsledkem této činnosti může být obejití zabezpečeného spouštění UEFI nebo obnovení důvěrných dat uložených na úrovni jádra.
Zpočátku funkce omezení root byly vyvinuty v kontextu posílení ověřené ochrany bootování a distribuce již dlouhou dobu používají patche třetích stran k blokování bypassu zabezpečeného bootování UEFI.
Současně tato omezení nebyla zahrnuta do složení jádra jádra kvůli neshodám při jeho implementaci a strachu z narušení stávajících systémů. Modul „uzamčení“ obsahuje patche již používané v distribucích, které byly zpracovány ve formě samostatného subsystému, který není vázán na UEFI Secure Boot.
Je-li povoleno, jsou omezeny různé funkce jádra. Aplikace, které se spoléhají na nízkoúrovňový hardware nebo přístup k jádru, proto mohou přestat fungovat, proto by to nemělo být povoleno bez řádného vyhodnocení předem. Komentáře Linuse Torvaldse.
V režimu uzamčení omezte přístup na / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, debugfs, debugfs kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (zabezpečené informace o kartě), některé ACPI a CPU MSR registry, kexec_file a kexec_load hovory jsou blokovány, režim spánku je zakázán, použití DMA pro zařízení PCI je omezeno, import ACPI kódu z proměnných EFI je zakázán, manipulace s porty I / O včetně změny čísla přerušení a I / O port pro sériový port nejsou povoleny.
Ve výchozím nastavení není blokovací modul aktivní; je vytvořen, když je v kconfigu zadána volba SECURITY_LOCKDOWN_LSM a je aktivována parametrem jádra "lockdown =", kontrolním souborem "/ sys / kernel / security / lockdown" nebo možnostmi kompilace LOCK_DOWN_KERNEL_FORCE_ *, které mohou nabývat hodnot „integrita“ a „důvěrnost“.
V prvním případě funkce, které umožňují změny pracovního jádra z uživatelského prostoru, jsou uzamčeny, a v druhém případě je navíc deaktivována funkce, kterou lze použít k získání důvěrných informací z jádra.
Je důležité si uvědomit, že zamykání omezuje pouze možnosti běžného přístupu k jádru, ale nechrání před úpravami v důsledku využívání zranitelných míst. Chcete-li blokovat změny pracovního jádra, když projekt Openwall využívá exploity, vyvíjí se samostatný modul LKRG (Linux Kernel Runtime Guard).
Funkce uzamčení má u mnoha subsystémů významné kontroly designu a komentáře. Tento kód je v Linuxu-next již několik týdnů a během cesty bylo použito několik oprav.
Kořen by měl být víc než bůh. Mělo by to být všemocné.
ale zdá se, že chtějí omezit právo oprávněného uživatele Root ve prospěch nich
Jdeme špatně, když je „cirkus bezpečnosti“ využíván k omezení svobody užívání a správy.
špatně, když jádro není nic jiného než kopie metedologie Windolais a Macais