После многих лет обсуждения и переписывания кода Линус Торвальдс утвержденный в субботу новая функция безопасности для ядра Linux под названием «lockdown».
Новая функция поступит в ядро в виде LSM (модуля безопасности Linux), которое будет выпущено в ближайшее время и будет отключено по умолчанию. Его использование будет необязательным из-за риска выхода из строя существующих систем.
Основная функция новой функции будет заключаться в том, чтобы устранить разрыв между пользовательскими процессами и основным кодом, даже не позволяя корневой учетной записи взаимодействовать с кодом ядра, то, что могло бы случиться до настоящего времени.
Когда эта функция включена, функция «блокировки» ограничивает некоторые функции ядра даже для пользователя root, что затрудняет взломщику с привилегиями root возможность взлома остальной части операционной системы.
«Блокировка предназначена для того, чтобы позволить блокировать ядра на ранних этапах процесса загрузки», - сказал Мэтью Гарретт, инженер Google, который предложил эту функцию много лет назад.
«После включения различные функции ядра будут ограничены», - сказал Линус Торвальдс.
Это включает ограничение доступа к функциям ядра, которые могут позволить выполнение произвольного кода, предоставляемого пользовательскими процессами:
Захват процессов из записи или чтения из / dev / mem и / dev / kmem памяти.
Заблокировать доступ к / dev / port.
Реализовать подписи модулей ядра и многое другое перечисленные здесь.
Новый модуль будет поддерживать два режима блокировки, которые описаны в описании как «целостность» и «конфиденциальность».
Каждый режим уникален и ограничивает доступ к различным функциям ядра.
«Если он установлен на целостность, возможности ядра, которые позволяют пользователю изменять текущее ядро, будут отключены», - сказал Торвальдс.
«Если установлено значение конфиденциальности, возможности ядра, позволяющие пользователю извлекать конфиденциальную информацию из ядра, также будут отключены».
Обсуждения по поводу блокировки ядра начались в начале 2010 инженером Google Мэтью Гарреттом.
Идея, лежащая в основе этой функции, заключалась в создании механизма безопасности, который не позволял бы пользователям иметь повышенные привилегии (даже учетную запись «root»), чтобы они не могли нарушить код ядра.
В то время, хотя в системах Linux использовались механизмы безопасной загрузки, были способы, которыми вредоносные программы могли злоупотреблять драйверами, учетными записями root и учетными записями пользователей со специальными привилегиями для нарушения кода ядра.
В последние годы многие эксперты по безопасности призывают блокировать ядро, но Торвальдс не был особенно согласен с самого начала.
В результате многие дистрибутивы Linux, такие как Red Hat, разработали свое собственное ядро Linux, которое содержало функцию блокировки. Но в этом году мы увидим новую функцию во всех дистрибутивах!
Greek
Chinese (Simplified)
English
Greek
Russian