Lockdown, uusi Linux-ytimen käyttöönotto, jolla rajoitetaan pääkäyttäjän pääsyä ytimeen

Linux-ydin

Uutiset rikkoivat sen äskettäin Linus Torvalds otti käyttöön uuden komponentin, joka sisällytetään tulevaan "Linux 5.4" -ydinversioon. tällä uudella komponentilla on nimi "Lockdown", jonka ehdotti David Howells (joka on aiemmin ottanut tämän komponentin käyttöön Red Hat Kernelissä) ja Matthew Garrett (Google-kehittäjä).

Lukituksen päätehtävä on rajoittaa pääkäyttäjän pääsyä järjestelmän ytimeen ja tämä toiminnallisuus on siirretty LSM-moduuliin valinnaisesti ladattu (Linux Security Module), joka muodostaa esteen UID 0: n ja ytimen välille, rajoittamalla tiettyjä matalan tason toimintoja.

Tämä sallii lukitustoiminnon olla politiikkaan perustuva kuin implisiittisen käytännön kova koodaus mekanismin sisällä, joten Linux-suojausmoduulin sisältämä lukko tarjoaa toteutuksen yksinkertaisella käytännöllä tarkoitettu yleiseen käyttöön. Tämä käytäntö tarjoaa tarkkuustason, jota voidaan hallita ytimen komentorivillä.

Tämä ydinsuojauksen suoja johtuu siitä, että:

Jos hyökkääjä onnistuu suorittamaan koodin juurioikeuksilla hyökkäyksen seurauksena, hän voi suorittaa koodinsa myös ytimen tasolla, esimerkiksi korvata ytimen kexecillä tai lukea ja / tai kirjoittaa muistia / dev / kmem -palvelun kautta.

Tämän toiminnan ilmeisin seuraus voi olla UEFI-suojatun käynnistyksen ohittaminen tai ytintasolla tallennettujen luottamuksellisten tietojen palauttaminen.

Aluksi juurirajoitustoiminnot kehitettiin vahvistetun käynnistyssuojan vahvistamisen yhteydessä ja jakelut ovat käyttäneet kolmannen osapuolen korjaustiedostoja pitkään UEFI-suojatun käynnistyksen ohituksen estämiseksi.

Samalla tällaisia ​​rajoituksia ei sisällytetty ytimen ydinkoostumukseen erimielisyyksien vuoksi täytäntöönpanossa ja pelko olemassa olevien järjestelmien häiriöistä. "Lukitus" -moduuli sisältää jakeluissa jo käytetyt korjaustiedostot, jotka käsiteltiin erillisen alijärjestelmän muodossa, joka ei ole sidottu UEFI Secure Bootiin.

Kun tämä asetus on käytössä, useita ytimen toimintoja rajoitetaan. Joten sovellukset, jotka luottavat matalan tason laitteistoon tai ytimen pääsyyn, saattavat lakata toimimasta seurauksena, joten tätä ei pitäisi sallia ilman asianmukaista arviointia etukäteen. Linus Torvalds kommentoi.

Rajoita lukitustilassa pääsyä kohteisiin / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, debugfs, debugfs kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (korttitietojen suojaus), jotkut ACPI ja CPU MSR -rekisterit, kexec_file- ja kexec_load-puhelut on estetty, lepotila on kielletty, DMA: n käyttö PCI-laitteille on rajoitettu, ACPI-koodin tuonti EFI-muuttujista on kielletty, manipulointi porttien sisääntulon / lähdön kanssa, mukaan lukien keskeytysnumeron ja syötteen muuttaminen / sarjaportin lähtöporttia ei sallita.

Oletuksena lukitusmoduuli ei ole aktiivinen; se luodaan, kun SECURITY_LOCKDOWN_LSM -vaihtoehto on määritetty kconfigissa ja se aktivoidaan ytimen parametrilla "lockdown =", ohjaustiedostolla "/ sys / kernel / security / lockdown" tai kokoamisasetuksilla LOCK_DOWN_KERNEL_FORCE_ *, jotka voivat ottaa arvon "eheys" ja "luottamuksellisuus".

Ensimmäisessä tapauksessa toiminnot, jotka sallivat ytimen muutokset käyttäjän tilasta, on lukittu, ja toisessa tapauksessa tämän lisäksi toiminto, jolla voidaan poimia luottamuksellisia tietoja ytimestä, on poistettu käytöstä.

On tärkeää huomata, että lukitseminen rajoittaa vain tavallisia ytimen käyttöominaisuuksia, mutta se ei suojaa haavoittuvuuksien hyödyntämisen aiheuttamilta muutoksilta. Jotta estetään muutokset toimivaan ytimeen, kun Openwall-projekti käyttää hyödyntämistä, erillistä LKRG (Linux Kernel Runtime Guard) -moduulia kehitetään.

Lukitustoiminnolla on ollut merkittäviä suunnitteluarviointeja ja kommentteja monista osajärjestelmistä. Tämä koodi on ollut Linux-seuraavassa muutaman viikon ajan, ja muutamia korjauksia on sovellettu matkan varrella.


Artikkelin sisältö noudattaa periaatteita toimituksellinen etiikka. Ilmoita virheestä napsauttamalla täällä.

Kommentti, jätä sinun

Jätä kommentti

Sähköpostiosoitettasi ei julkaista.

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   01x01 dijo

    Juuren pitäisi olla enemmän kuin jumala. Sen pitäisi olla kaikki voimakas.
    mutta näyttää siltä, ​​että he haluavat rajoittaa laillisen käyttäjän Root oikeutta heidän edukseen
    Menemme pieleen, kun "turvallisuussirkusta" käytetään käyttö- ja hallintovapauksien rajoittamiseen.
    huonosti menemme, kun ydin ei ole muuta kuin kopio windolais- ja macais-metedologiasta