Novica je to nedavno razkrila Linus Torvalds je sprejel novo komponento, ki bo vključena v prihodnjo različico jedra "Linux 5.4". ta nova komponenta ima ime "Zaklepanje", ki ga je predlagal David Howells (ki je to komponento že uvedel v jedru Red Hat) in Matthew Garrett (Googlov razvijalec).
Glavna naloga zaklepanja je omejiti dostop korenskega uporabnika do sistemskega jedra in to funkcionalnost je bil premaknjen v modul LSM neobvezno naložen (Linux Security Module), ki vzpostavi pregrado med UID 0 in jedrom, ki omejuje nekatere funkcije na nizki ravni.
To omogoča, da funkcija zaklepanja temelji na pravilniku in ne trdo kodira implicitne politike znotraj mehanizma, tako ključavnica, vključena v varnostni modul Linux, nudi izvedbo s preprostim pravilnikom namenjena za splošno uporabo. Ta pravilnik zagotavlja raven razdrobljenosti, ki jo je mogoče nadzorovati prek ukazne vrstice jedra.
Ta zaščita dostopa do Jedra je posledica dejstva, da:
Če je napadalcu zaradi napada uspelo izvesti kodo s korenskimi pravicami, lahko svojo kodo izvede tudi na ravni jedra, na primer zamenja jedro s kexec ali prebere in / ali zapiše pomnilnik prek / dev / kmem.
Najbolj očitna posledica te dejavnosti je lahko izogibanje varnemu zagonu UEFI ali obnovitev zaupnih podatkov, shranjenih na ravni jedra.
Na začetku je dr. funkcije omejevanja korenov so bile razvite v okviru krepitve preverjene zaščite pred zagonom in distribucije že dolgo uporabljajo zunanje popravke za blokiranje varnega zagonskega obvoda UEFI.
Hkrati takšne omejitve niso bile vključene v jedro jedra zaradi nesoglasij pri njegovem izvajanju in strah pred motnjami obstoječih sistemov. Modul "lockdown" vključuje popravke, ki so že bili uporabljeni v distribucijah, ki so bile obdelane v obliki ločenega podsistema, ki ni vezan na UEFI Secure Boot.
Ko je omogočena, so omejeni različni deli funkcionalnosti jedra. Torej lahko aplikacije, ki se zanašajo na dostop do strojne opreme ali jedra, prenehajo delovati, zato tega ne bi smeli omogočiti brez predhodne ustrezne ocene. Linus Torvalds komentira.
V načinu zaklepanja omejite dostop do / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, debugfs, debugfs kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (varne informacije o karticah), nekatere ACPI in MSR registri CPU, klici kexec_file in kexec_load so blokirani, način mirovanja je prepovedan, uporaba DMA za naprave PCI je omejena, uvoz ACPI kode iz spremenljivk EFI je prepovedan, manipulacije z vhodno / izhodnimi vrati, vključno s spremembo številke prekinitve in vnosa / izhodna vrata za serijska vrata niso dovoljena.
Privzeto modul za zaklepanje ni aktiven; ustvari se, ko je v kconfig podana možnost SECURITY_LOCKDOWN_LSM, ki jo aktivira parameter jedra "lockdown =", nadzorna datoteka "/ sys / kernel / security / lockdown" ali možnosti zbiranja LOCK_DOWN_KERNEL_FORCE_ *, ki lahko sprejme vrednosti "celovitost" in "zaupnost".
V prvem primeru funkcije, ki omogočajo spremembe delovnega jedra iz uporabniškega prostora, so blokirane, v drugem primeru pa je poleg tega onemogočena tudi funkcionalnost, ki jo lahko uporabimo za pridobivanje zaupnih informacij iz jedra.
Pomembno je omeniti, da zaklepanje omejuje samo običajne zmožnosti dostopa do jedra, vendar ne ščiti pred spremembami zaradi izkoriščanja ranljivosti. Za blokiranje sprememb v delujočem jedru, ko projekt Openwall uporablja podvige, je razvit ločen modul LKRG (Linux Kernel Runtime Guard).
Funkcija zaklepanja je imela pomembne preglede in komentarje številnih podsistemov. Ta koda je že nekaj tednov v Linux-next, z nekaj popravki.
Koren bi moral biti več kot bog. Morali bi biti vsi močni.
vendar se zdi, da želijo omejiti pravico zakonitega uporabnika Root v njihovo korist
Slabo nam gre, ko se z "cirkusom varnosti" omejuje svoboda uporabe in upravljanja.
slabo gremo, ko jedro ni nič drugega kot kopija meteologije windolais in macais