Linux 5.4 получит функцию блокировки ядра от модификаций
1-10-2019, 22:29. Разместил: FIELD LINE
Новая функция будет поставляться в виде LSM (модуль безопасности Linux), при этом она будет по умолчанию отключена, а использование нововведения не будет обязательным из-за риска взлома существующих систем.
Как отмечается, при включении новая функция блокировки ограничит некоторые возможности ядра, в том числе для пользователей с учётной записью root. Это должно затруднить перехват управления для хакеров в случае компрометации учётных записей.
Как заявил Мэтью Гарретт (Matthew Garrett), инженер Google, который предложил эту функцию несколько лет назад, модуль блокировки предназначен для того, чтобы ядро могло быть заблокировано на ранних стадиях процесса загрузки.
В числе блокируемых возможностей указано выполнение произвольного кода процессами userland, чтение или запись данных в память, доступ к портам, принудительное выполнение подписей модулей ядра и так далее. Полный список доступен здесь.
Отметим также, что система защиты получит два режима блокировки: «целостность» и «конфиденциальность». Каждый из них доступ к различным функциям ядра. Помимо этого, разработчики могут устанавливать свои ограничения на модификацию ядра системы с помощью патчей.
Вернуться назад