Ziņas nesen to uzzināja Linuss Torvalds pieņēma jaunu komponentu, kas tiks iekļauts turpmākajā "Linux 5.4" kodola versijā. šim jaunajam komponentam ir nosaukums "Lockdown", kuru ierosināja Deivids Hovels (kurš iepriekš ir ieviesis šo komponentu Red Hat kodolā) un Metjū Garets (Google izstrādātājs).
Galvenā bloķēšanas funkcija ir ierobežot saknes lietotāja piekļuvi sistēmas kodolam un šī funkcionalitāte ir pārvietots uz LSM moduli pēc izvēles ielādēts (Linux drošības modulis), kas izveido barjeru starp UID 0 un kodolu, ierobežojot noteiktas zema līmeņa funkcijas.
Tas ļauj bloķēšanas funkcijai būt balstītai uz politiku, nevis stingri kodēt netiešo politiku mehānismā, tāpēc Linux drošības modulī iekļautā slēdzene nodrošina ieviešanu ar vienkāršu politiku paredzēts vispārējai lietošanai. Šī politika nodrošina precizitātes līmeni, kuru var kontrolēt, izmantojot kodola komandrindu.
Šī piekļuves kodolam aizsardzība ir saistīta ar faktu, ka:
Ja uzbrucējam uzbrukuma rezultātā izdodas izpildīt kodu ar root tiesībām, viņš var arī izpildīt kodu kodola līmenī, piemēram, aizstāt kodolu ar kexec vai lasīt un / vai ierakstīt atmiņu caur / dev / kmem.
Šīs darbības visredzamākās sekas var būt UEFI drošās sāknēšanas apiešana vai konfidenciālu datu atgūšana kodola līmenī.
Sākotnēji Sakņu ierobežošanas funkcijas tika izstrādātas verificētas sāknēšanas aizsardzības stiprināšanas kontekstā un izplatītāji jau ilgu laiku izmanto trešo pušu ielāpus, lai bloķētu UEFI drošās sāknēšanas apvedceļu.
Tajā pašā laikā šādi ierobežojumi nesaskaņu dēļ netika iekļauti kodola kodola sastāvā tā īstenošanā un bailes no esošo sistēmu darbības traucējumiem. "Bloķēšanas" modulī ir iekļauti jau izplatījumos izmantotie ielāpi, kas tika apstrādāti kā atsevišķa apakšsistēma, kas nav saistīta ar UEFI Secure Boot.
Ja tas ir iespējots, tiek ierobežoti dažādi kodola funkcionalitātes elementi. Tātad lietojumprogrammas, kuru pamatā ir zema līmeņa aparatūra vai kodola piekļuve, var pārtraukt darbu, tāpēc to nevajadzētu iespējot bez iepriekšējas pienācīgas novērtēšanas. Komentē Linuss Torvalds.
Bloķēšanas režīmā ierobežojiet piekļuvi / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, debugfs, debugfs kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (droša kartes informācija), dažiem ACPI un CPU MSR reģistri, kexec_file un kexec_load zvani ir bloķēti, miega režīms ir aizliegts, DMA izmantošana PCI ierīcēm ir ierobežota, ACPI koda imports no EFI mainīgajiem ir aizliegts, manipulācijas ar ostu ievadi / izeju, ieskaitot pārtraukuma numura un ievades izmaiņas / seriālā porta izvades ports nav atļauts.
Pēc noklusējuma bloķēšanas modulis nav aktīvs; tas tiek izveidots, kad kconfig ir norādīta opcija SECURITY_LOCKDOWN_LSM un to aktivizē kodola parametrs "lockdown =", vadības fails "/ sys / kernel / security / lockdown" vai kompilācijas opcijas LOCK_DOWN_KERNEL_FORCE_ *, kas var ņemt vērtību "integritāte" un "konfidencialitāte".
Pirmajā gadījumā funkcijas, kas ļauj mainīt lietotāja kodolu no lietotāja vietas, ir bloķētas, un otrajā gadījumā papildus tam tiek atspējota funkcionalitāte, kuru var izmantot, lai no kodola iegūtu konfidenciālu informāciju.
Ir svarīgi atzīmēt, ka bloķēšana tikai ierobežo parastās kodola piekļuves iespējas, taču tas neaizsargā pret modifikācijām ievainojamības izmantošanas rezultātā. Lai bloķētu izmaiņas darba kodolā, kad Openwall projekts izmanto izmantošanas iespējas, tiek izstrādāts atsevišķs LKRG (Linux Kernel Runtime Guard) modulis.
Bloķēšanas funkcijai ir bijušas ievērojamas dizaina atsauksmes un komentāri par daudzām apakšsistēmām. Šis kods ir bijis Linux-next jau dažas nedēļas, un ceļā tika izmantoti daži labojumi.
Saknei vajadzētu būt vairāk nekā dievam. Tam vajadzētu būt visvarenajam.
bet šķiet, ka viņi vēlas ierobežot likumīgā lietotāja Root tiesības par labu viņiem
Mums iet slikti, kad "drošības cirks" tiek izmantots, lai ierobežotu lietošanas un pārvaldības brīvības.
slikti mums iet, kad kodols ir nekas cits kā windolais un macais metedoloģijas kopija