Lockdown, новое принятие ядра Linux для ограничения корневого доступа к ядру.

Новости недавно сообщили, что Линус Торвальдс принял новый компонент, который будет включен в будущую версию ядра «Linux 5.4». этот новый компонент имеет имя «Изоляция», предложенная Дэвидом Хауэллсом (который ранее реализовал этот компонент в Red Hat Kernel) и Мэтью Гарретт (разработчик Google).

Основная функция блокировки - ограничить доступ пользователя root к ядру системы. и эта функциональность перенесен в модуль LSM опционально загружен (Linux Security Module), который устанавливает барьер между UID 0 и ядром, ограничивая некоторые низкоуровневые функции.

Это позволяет функции блокировки быть основанной на политике, а не жестко закодировать неявную политику внутри механизма. поэтому блокировка, включенная в модуль безопасности Linux, обеспечивает реализацию с простой политикой предназначен для общего пользования. Эта политика обеспечивает уровень детализации, управляемый через командную строку ядра.

Такая защита доступа к Ядру обусловлена ​​тем, что:

Если злоумышленнику удастся выполнить код с привилегиями root в результате атаки, он также может выполнить свой код на уровне ядра, например, заменив ядро ​​на kexec или прочитав и / или записав память через / dev / kmem.

Наиболее очевидным последствием этого действия может быть обход UEFI Secure Boot или восстановление конфиденциальных данных, хранящихся на уровне ядра.

на начальном этапе, функции ограничения root были разработаны в контексте усиления проверенной защиты загрузки а в дистрибутивах уже давно используются сторонние патчи для блокировки обхода безопасной загрузки UEFI.

Al mismo tiempo, такие ограничения не вошли в состав активной зоны из-за разногласий в его реализации и боязнь нарушения работы существующих систем. Модуль «lockdown» включает исправления, уже используемые в дистрибутивах, которые были обработаны в виде отдельной подсистемы, не привязанной к UEFI Secure Boot.

При включении ограничиваются различные функции ядра.. Таким образом, приложения, которые полагаются на низкоуровневое оборудование или доступ к ядру, могут перестать работать в результате, поэтому его не следует включать без предварительной оценки. Комментарии Линуса Торвальдса.

В режиме блокировки ограничьте доступ к / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, debugfs, debugfs kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (безопасность информации о карте), некоторым ACPI и регистры MSR процессора, вызовы kexec_file и kexec_load заблокированы, спящий режим запрещен, использование DMA для устройств PCI ограничено, импорт кода ACPI из переменных EFI запрещен, манипуляции с портами ввода / вывода, включая изменение номера прерывания и ввода / выходной порт для последовательного порта не допускаются.

По умолчанию модуль блокировки не активен; он создается, когда параметр SECURITY_LOCKDOWN_LSM указан в kconfig и активируется параметром ядра "lockdown =", управляющим файлом "/ sys / kernel / security / lockdown" или параметрами компиляции LOCK_DOWN_KERNEL_FORCE_ *, которые могут принимать значения «целостность» и «конфиденциальность».

В первом случае заблокированы функции, позволяющие вносить изменения в рабочее ядро ​​из пользовательского пространства, а во втором случае, помимо этого, отключена функция, которая может использоваться для извлечения конфиденциальной информации из ядра.

Важно отметить, что блокировка ограничивает только обычные возможности доступа к ядру, но он не защищает от модификаций в результате использования уязвимостей. Чтобы заблокировать изменения в рабочем ядре, когда проект Openwall использует эксплойты, разрабатывается отдельный модуль LKRG (Linux Kernel Runtime Guard).

Функция блокировки подверглась серьезным конструкторским проверкам и комментариям по многим подсистемам. Этот код находится в Linux-next уже несколько недель, с внесенными в него исправлениями.