Linux 5.4 получит функцию блокировки ядра от модификаций
Опубликовал: FIELD LINE, 1-10-2019, 22:29, Софт / Железо, 789, 0
Линус Торвальдс (Linus Torvalds) на днях одобрил функцию безопасности для ядра Linux, названную «lockdown». Она появится в версии 5.4. Новая возможность представляет собой, по сути, систему защиты ядра от взлома и модификаций. Идея состоит в том, чтобы уменьшить взаимодействие между ядром и процессами, выполняемыми в пользовательском окружении.
Новая функция будет поставляться в виде LSM (модуль безопасности Linux), при этом она будет по умолчанию отключена, а использование нововведения не будет обязательным из-за риска взлома существующих систем.
Как отмечается, при включении новая функция блокировки ограничит некоторые возможности ядра, в том числе для пользователей с учётной записью root. Это должно затруднить перехват управления для хакеров в случае компрометации учётных записей.
Как заявил Мэтью Гарретт (Matthew Garrett), инженер Google, который предложил эту функцию несколько лет назад, модуль блокировки предназначен для того, чтобы ядро могло быть заблокировано на ранних стадиях процесса загрузки.
В числе блокируемых возможностей указано выполнение произвольного кода процессами userland, чтение или запись данных в память, доступ к портам, принудительное выполнение подписей модулей ядра и так далее. Полный список доступен здесь.
Отметим также, что система защиты получит два режима блокировки: «целостность» и «конфиденциальность». Каждый из них доступ к различным функциям ядра. Помимо этого, разработчики могут устанавливать свои ограничения на модификацию ядра системы с помощью патчей.
Новая функция будет поставляться в виде LSM (модуль безопасности Linux), при этом она будет по умолчанию отключена, а использование нововведения не будет обязательным из-за риска взлома существующих систем.
Как отмечается, при включении новая функция блокировки ограничит некоторые возможности ядра, в том числе для пользователей с учётной записью root. Это должно затруднить перехват управления для хакеров в случае компрометации учётных записей.
Как заявил Мэтью Гарретт (Matthew Garrett), инженер Google, который предложил эту функцию несколько лет назад, модуль блокировки предназначен для того, чтобы ядро могло быть заблокировано на ранних стадиях процесса загрузки.
В числе блокируемых возможностей указано выполнение произвольного кода процессами userland, чтение или запись данных в память, доступ к портам, принудительное выполнение подписей модулей ядра и так далее. Полный список доступен здесь.
Отметим также, что система защиты получит два режима блокировки: «целостность» и «конфиденциальность». Каждый из них доступ к различным функциям ядра. Помимо этого, разработчики могут устанавливать свои ограничения на модификацию ядра системы с помощью патчей.
