Lajmi së fundmi e dha atë Linus Torvalds miratoi një komponent të ri, i cili do të përfshihet në një version të ardhshëm të kernelit "Linux 5.4". ky komponent i ri ka emrin "Lockdown" i cili u propozua nga David Howells (i cili e ka zbatuar më parë këtë komponent në Red Hat Kernel) dhe Matthew Garrett (zhvilluesi i Google).
Funksioni kryesor i bllokimit është të kufizojë hyrjen e përdoruesit rrënjë në kernelin e sistemit dhe këtë funksionalitet është zhvendosur në modulin LSM ngarkuar opsionalisht (Moduli i Sigurisë Linux), i cili vendos një pengesë midis UID 0 dhe kernelit, duke kufizuar funksione të caktuara të nivelit të ulët.
Kjo lejon që funksioni i kyçjes të jetë i bazuar në politikë sesa të kodifikojë fort një politikë implicite brenda mekanizmit, kështu që kyçi i përfshirë në Modulin e Sigurisë Linux siguron një zbatim me një politikë të thjeshtë të destinuara për përdorim të përgjithshëm. Kjo politikë siguron një nivel të grimcimit të kontrollueshëm përmes linjës komanduese të kernelit.
Kjo mbrojtje e aksesit në Bërthamë është për shkak të faktit se:
Nëse një sulmues arrin të ekzekutojë kodin me privilegje rrënjë si rezultat i sulmit, ai gjithashtu mund të ekzekutojë kodin e tij në nivelin e kernelit, për shembull, duke zëvendësuar kernelin me kexec ose duke lexuar dhe / ose shkruar memorje përmes / dev / kmem.
Pasoja më e dukshme e këtij aktiviteti mund të jetë anashkalimi i UEFI Secure Boot ose rikuperimi i të dhënave konfidenciale të ruajtura në nivelin e kernelit.
Fillimisht, funksionet e kufizimit të rrënjës u zhvilluan në kontekstin e forcimit të mbrojtjes së verifikuar të boot dhe shpërndarjet kanë përdorur arna të palëve të treta për një kohë të gjatë për të bllokuar bajpasin e sigurt të nisjes nga UEFI.
Në të njëjtën kohë kufizime të tilla nuk u përfshinë në përbërjen thelbësore të bërthamës për shkak të mosmarrëveshjeve në zbatimin e tij dhe frikën e prishjes së sistemeve ekzistuese. Moduli "bllokim" përfshin arna të përdorura tashmë në shpërndarje, të cilat janë përpunuar në formën e një nënsistemi të veçantë që nuk është i lidhur me UEFI Secure Boot.
Kur aktivizohet, pjesë të ndryshme të funksionalitetit të bërthamës janë të kufizuara. Kështu që aplikacionet që mbështeten në pajisje të nivelit të ulët ose aksesi në kernel mund të ndalojnë së funksionuari si rezultat, prandaj kjo nuk duhet të aktivizohet pa vlerësimin e duhur paraprakisht. Komentet e Linus Torvalds.
Në modalitetin e bllokimit, kufizoni hyrjen në / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, debugfs, debugfs kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (informacioni i kartës i sigurt), disa ACPI dhe regjistrat e CPR MSR, thirrjet kexec_file dhe kexec_load janë të bllokuara, modaliteti i gjumit është i ndaluar, përdorimi i DMA për pajisjet PCI është i kufizuar, importimi i kodit ACPI nga ndryshoret EFI është i ndaluar, manipulimet me portat I / O duke përfshirë ndryshimin e numrit të ndërprerjes dhe I / Porti O për portin serik nuk lejohen.
Si parazgjedhje, moduli i bllokimit nuk është aktiv; krijohet kur opsioni SECURITY_LOCKDOWN_LSM specifikohet në kconfig dhe aktivizohet nga parametri i kernelit "bllokim =", skedari i kontrollit "/ sys / kernel / siguri / bllokim" ose opsionet e përpilimit LOCK_DOWN_KERNEL_FORCE_ *, të cilat mund të marrin vlerat e "integriteti" dhe "konfidencialiteti".
Në rastin e parë, funksionet që lejojnë ndryshime në bërthamë nga hapësira e përdoruesit janë të kyçura, dhe në rastin e dytë, përveç kësaj, funksionaliteti që mund të përdoret për të nxjerrë informacione konfidenciale nga kerneli është çaktivizuar.
Importantshtë e rëndësishme të theksohet se kyçja kufizon vetëm aftësitë e rregullta të hyrjes në kernel, por nuk mbron nga modifikimet si rezultat i shfrytëzimit të dobësive. Për të bllokuar ndryshimet në kernelin e punës kur projekti Openwall përdor shfrytëzime, po zhvillohet një modul i veçantë LKRG (Linux Kernel Runtime Guard).
Funksioni i bllokimit ka pasur vlerësime dhe komente të konsiderueshme të dizajnit në shumë nënsisteme. Ky kod është në Linux-in e ardhshëm për disa javë tani, me disa rregullime të aplikuara gjatë rrugës.
Rrënja duhet të jetë më shumë se një zot. Duhet të jetë i gjithë i fuqishmi.
por duket se ata duan të kufizojnë të drejtën e përdoruesit legjitim Root në favor të tyre
Ne po shkojmë keq kur "cirku i sigurisë" përdoret për të kufizuar liritë e përdorimit dhe menaxhimit.
keq po shkojmë kur bërthama nuk është asgjë më shumë sesa një kopje e metedologjisë windolais dhe macais