Новости недавно сообщили, что Линус Торвальдс принял новый компонент, который будет включен в будущую версию ядра «Linux 5.4». этот новый компонент имеет имя «Изоляция», предложенная Дэвидом Хауэллсом (который ранее реализовал этот компонент в Red Hat Kernel) и Мэтью Гарретт (разработчик Google).
Основная функция блокировки - ограничить доступ пользователя root к ядру системы. и эта функциональность перенесен в модуль LSM опционально загружен (Linux Security Module), который устанавливает барьер между UID 0 и ядром, ограничивая некоторые низкоуровневые функции.
Это позволяет функции блокировки быть основанной на политике, а не жестко закодировать неявную политику внутри механизма. поэтому блокировка, включенная в модуль безопасности Linux, обеспечивает реализацию с простой политикой предназначен для общего пользования. Эта политика обеспечивает уровень детализации, управляемый через командную строку ядра.
Такая защита доступа к Ядру обусловлена тем, что:
Если злоумышленнику удастся выполнить код с привилегиями root в результате атаки, он также может выполнить свой код на уровне ядра, например, заменив ядро на kexec или прочитав и / или записав память через / dev / kmem.
Наиболее очевидным последствием этого действия может быть обход UEFI Secure Boot или восстановление конфиденциальных данных, хранящихся на уровне ядра.
на начальном этапе, функции ограничения root были разработаны в контексте усиления проверенной защиты загрузки а в дистрибутивах уже давно используются сторонние патчи для блокировки обхода безопасной загрузки UEFI.
Al mismo tiempo, такие ограничения не вошли в состав активной зоны из-за разногласий в его реализации и боязнь нарушения работы существующих систем. Модуль «lockdown» включает исправления, уже используемые в дистрибутивах, которые были обработаны в виде отдельной подсистемы, не привязанной к UEFI Secure Boot.
При включении ограничиваются различные функции ядра.. Таким образом, приложения, которые полагаются на низкоуровневое оборудование или доступ к ядру, могут перестать работать в результате, поэтому его не следует включать без предварительной оценки. Комментарии Линуса Торвальдса.
В режиме блокировки ограничьте доступ к / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, debugfs, debugfs kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (безопасность информации о карте), некоторым ACPI и регистры MSR процессора, вызовы kexec_file и kexec_load заблокированы, спящий режим запрещен, использование DMA для устройств PCI ограничено, импорт кода ACPI из переменных EFI запрещен, манипуляции с портами ввода / вывода, включая изменение номера прерывания и ввода / выходной порт для последовательного порта не допускаются.
По умолчанию модуль блокировки не активен; он создается, когда параметр SECURITY_LOCKDOWN_LSM указан в kconfig и активируется параметром ядра "lockdown =", управляющим файлом "/ sys / kernel / security / lockdown" или параметрами компиляции LOCK_DOWN_KERNEL_FORCE_ *, которые могут принимать значения «целостность» и «конфиденциальность».
В первом случае заблокированы функции, позволяющие вносить изменения в рабочее ядро из пользовательского пространства, а во втором случае, помимо этого, отключена функция, которая может использоваться для извлечения конфиденциальной информации из ядра.
Важно отметить, что блокировка ограничивает только обычные возможности доступа к ядру, но он не защищает от модификаций в результате использования уязвимостей. Чтобы заблокировать изменения в рабочем ядре, когда проект Openwall использует эксплойты, разрабатывается отдельный модуль LKRG (Linux Kernel Runtime Guard).
Функция блокировки подверглась серьезным конструкторским проверкам и комментариям по многим подсистемам. Этот код находится в Linux-next уже несколько недель, с внесенными в него исправлениями.
Рут должен быть больше, чем бог. Это должен быть всемогущий.
но похоже они хотят ограничить право легитимного пользователя Root в пользу них
Плохо у нас дела, когда «цирк безопасности» используют для ограничения свободы использования и управления.
плохо мы идем, когда ядро - не что иное, как копия метедологии windolais и macais