Vijest je nedavno to prenijela Linus Torvalds usvojio je novu komponentu koja će biti uključena u buduću verziju jezgre "Linux 5.4". ova nova komponenta ima naziv "Lockdown" koji je predložio David Howells (koji je prethodno implementirao ovu komponentu u Red Hat Kernel) i Matthew Garrett (Googleov programer).
Glavna funkcija zaključavanja je ograničiti pristup korijenskog korisnika jezgri sustava i ovu funkcionalnost je premješten u LSM modul po želji učitan (Linux sigurnosni modul), koji uspostavlja prepreku između UID 0 i jezgre, ograničavajući određene funkcije niske razine.
To omogućuje da se funkcija zaključavanja temelji na pravilima, a ne da kodira implicitnu politiku unutar mehanizma, tako brava uključena u Linux sigurnosni modul pruža implementaciju s jednostavnim pravilima namijenjena općoj uporabi. Ovo pravilo pruža razinu granulacije kojom se može upravljati putem naredbenog retka jezgre.
Ova zaštita pristupa Nukleusu posljedica je činjenice da:
Ako napadač uspije izvršiti kôd s root privilegijama kao rezultat napada, on također može izvršiti svoj kôd na razini jezgre, na primjer, zamjenjujući jezgru s kexec ili čitanje i / ili pisanje memorije putem / dev / kmem.
Najočitija posljedica ove aktivnosti može biti zaobilaženje UEFI Secure Boot-a ili oporavak povjerljivih podataka pohranjenih na razini jezgre.
U početku, funkcije ograničavanja korijena razvijene su u kontekstu jačanja provjerene zaštite pokretanja i distribucije već dugo koriste zakrpe trećih strana kako bi blokirali UEFI sigurno zaobilazno pokretanje.
U isto vrijeme, takva ograničenja nisu bila uključena u sastav jezgre zbog neslaganja u njegovoj provedbi i strah od poremećaja postojećih sustava. Modul "zaključavanje" uključuje zakrpe koje se već koriste u distribucijama, a koje su obrađene u obliku zasebnog podsustava koji nije vezan za UEFI Secure Boot.
Kad je omogućeno, ograničeni su različiti dijelovi funkcionalnosti jezgre. Dakle, aplikacije koje se oslanjaju na pristup niskoj razini hardvera ili jezgre mogu prestati raditi kao rezultat, stoga to ne bi trebalo biti omogućeno bez prethodne odgovarajuće procjene. Linus Torvalds komentira.
U načinu zaključavanja ograničite pristup / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, debugfs, debugfs kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (podaci o karticama sigurni), neki ACPI i MSR registri CPU-a, pozivi kexec_file i kexec_load su blokirani, način mirovanja zabranjen, upotreba DMA-a za PCI uređaje ograničena, uvoz ACPI koda iz EFI varijabli zabranjen, manipulacije s ulazno-izlaznim ulazima, uključujući promjenu broja prekida i I / O port za serijski port nisu dopušteni.
Prema zadanim postavkama modul zaključavanja nije aktivan; kreira se kada je opcija SECURITY_LOCKDOWN_LSM navedena u kconfig i aktivira se parametrom jezgre "lockdown =", kontrolnom datotekom "/ sys / kernel / security / lockdown" ili opcijama kompilacije LOCK_DOWN_KERNEL_FORCE_ *, koje mogu poprimiti vrijednosti "cjelovitost" i "povjerljivost".
U prvom slučaju, funkcije koje dopuštaju promjene u radnom jezgru iz korisničkog prostora su blokirane, a u drugom slučaju, uz ovo, onemogućena je funkcionalnost koja se može koristiti za izdvajanje povjerljivih podataka iz jezgre.
Važno je napomenuti da zaključavanje samo ograničava mogućnosti redovitog pristupa jezgri, ali ne štiti od modifikacija kao rezultat iskorištavanja ranjivosti. Da bi se blokirale promjene u radnoj jezgri kada projekt Openwall koristi exploit-ove, razvija se zasebni LKRG (Linux Kernel Runtime Guard) modul.
Funkcija zaključavanja imala je značajne recenzije i komentare dizajna na mnogim podsustavima. Ovaj je kôd već nekoliko tjedana u Linux-nextu, uz nekoliko primijenjenih popravaka.
Korijen bi trebao biti više od boga. Trebao bi biti svemoćan.
ali čini se da žele ograničiti pravo legitimnog korisnika Root u njihovu korist
Idemo loše kad se "cirkus sigurnosti" koristi za ograničavanje sloboda korištenja i upravljanja.
loše nam ide kad jezgra nije ništa drugo nego kopija meteologije windolais i macais