Lockdown, penggunaan baru kernel Linux untuk membatasi akses root ke kernel

Berita baru-baru ini membongkarnya Linus Torvalds mengadopsi komponen baru, yang akan dimasukkan dalam versi kernel "Linux 5.4" yang akan datang. komponen baru ini mempunyai nama "Lockdown" yang dicadangkan oleh David Howells (yang sebelumnya telah menerapkan komponen ini dalam Red Hat Kernel) dan Matthew Garrett (pemaju Google).

Fungsi utama lockdown adalah untuk menghadkan akses pengguna root ke kernel sistem dan fungsi ini telah dipindahkan ke modul LSM dimuat secara pilihan (Modul Keselamatan Linux), yang mewujudkan penghalang antara UID 0 dan kernel, menghadkan fungsi tahap rendah tertentu.

Ini membolehkan fungsi penguncian dibuat berdasarkan polisi dan bukannya pengekodan keras suatu kebijakan tersirat dalam mekanisme, jadi kunci yang disertakan dalam Modul Keselamatan Linux menyediakan pelaksanaan dengan dasar yang mudah bertujuan untuk kegunaan umum. Dasar ini memberikan tahap butiran yang dapat dikawal melalui baris perintah kernel.

Perlindungan akses ke Nukleus ini disebabkan oleh fakta bahawa:

Sekiranya penyerang berjaya menjalankan kod dengan hak root sebagai akibat dari serangan itu, dia juga dapat menjalankan kodnya di tingkat kernel, misalnya, mengganti kernel dengan kexec atau membaca dan / atau menulis memori melalui / dev / kmem.

Akibat aktiviti ini yang paling jelas adalah dengan memintas UEFI Secure Boot atau memulihkan data sulit yang disimpan di peringkat kernel.

Pada mulanya, fungsi sekatan root dikembangkan dalam konteks pengukuhan perlindungan boot yang disahkan dan pengedaran telah lama menggunakan patch pihak ketiga untuk menyekat pintasan boot selamat UEFI.

Pada masa yang sama sekatan seperti itu tidak termasuk dalam komposisi inti kerana perbezaan pendapat dalam pelaksanaannya dan ketakutan gangguan sistem yang ada. Modul "penguncian" menggabungkan tambalan yang sudah digunakan dalam pengedaran, yang diproses dalam bentuk subsistem terpisah yang tidak terikat dengan UEFI Secure Boot.

Apabila diaktifkan, pelbagai fungsi kernel dibatasi. Oleh itu, aplikasi yang bergantung pada akses perkakasan atau kernel peringkat rendah mungkin berhenti berfungsi sebagai hasilnya, oleh itu ini tidak boleh diaktifkan tanpa penilaian yang betul terlebih dahulu. Komen Linus Torvalds.

Dalam mod kunci, hadkan akses ke / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, debugfs, debugfs kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (maklumat kad selamat), beberapa ACPI dan register MSR CPU, panggilan kexec_file dan kexec_load disekat, mod tidur dilarang, penggunaan DMA untuk peranti PCI adalah terhad, import kod ACPI dari pemboleh ubah EFI dilarang, manipulasi dengan port I / O termasuk menukar nombor gangguan dan I / Port O untuk port bersiri tidak dibenarkan.

Secara lalai, modul penguncian tidak aktif; ia dibuat apabila pilihan SECURITY_LOCKDOWN_LSM ditentukan dalam kconfig dan ia diaktifkan oleh parameter kernel "lockdown =", file control "/ sys / kernel / security / lockdown" atau pilihan kompilasi LOCK_DOWN_KERNEL_FORCE_ *, yang dapat mengambil nilai "integriti" dan "kerahsiaan".

Dalam kes pertama, fungsi yang membenarkan perubahan pada kernel yang berfungsi dari ruang pengguna disekat, dan dalam kes kedua, selain ini, fungsi yang dapat digunakan untuk mengekstrak maklumat sulit dari kernel dinonaktifkan.

Penting untuk diperhatikan bahawa mengunci hanya menghadkan keupayaan akses kernel biasa, tetapi ia tidak melindungi daripada pengubahsuaian sebagai akibat daripada mengeksploitasi kelemahan. Untuk menyekat perubahan pada kernel yang berfungsi ketika projek Openwall menggunakan eksploitasi, modul LKRG (Linux Kernel Runtime Guard) yang terpisah sedang dikembangkan.

Fungsi penguncian mempunyai ulasan dan komen reka bentuk yang signifikan pada banyak subsistem. Kod ini telah ada di Linux-berikutnya selama beberapa minggu sekarang, dengan beberapa pembaikan yang berlaku.