Линус Торвалдс добавя функция за заключване на ядрото във версия 5.4

0
81
Linxu Kernel ядро

След всички проблеми със сигурността около процесорните уязвимости, Торвалдс реши да добави функция за заключване („Lockdown“) на ядрото.

След дълго обмисляне Линус Торвалдс прецени, че е време да имплементира повишена сигурност в Linux ядрото при следващата версия 5.4 чрез така наречения „Lockdown“ или заключване. Функцията ще бъде по избор и ще се предлага като отделен модул. Тя ще промени коренно начина, по който потребителското пространство комуникира с Linux ядрото.

Принципът за заключването е предложен още през 2010-а година от инженера от Google Матю Гарет и позволява заключването на ядрото в ранен стадий, още по време на процеса по стартиране на машината (boot).

Когато бъде имплементирано заключването на ядрото, то ще бъде спряно по подразбиране, а когато при желание бъде включено, то ще забранява достъпа до ядрото дори и на root потребителите, които няма да могат да внасят никакви промени по кода на ядрото, а също така и ще бъде спрян достъпът до някои функции.

Някои от ограниченията, наложени от Lockdown функцията са блокиране на операциите по писане при /dev/mem, невъзможност за поставяне на машината в режим на хиберниране, блокиране на CPU MSR достъпа и пр. Подобен подход ще осигури ограничаване на достъпа на компрометирани root акаунти и ще повиши неимоверно сигурността на Linux като цяло.

Ще са налични два параметъра, които ще активират две нива на ограничение:

  • lockdown= integrity ще ограничава функциите на ядрото, които позволяват на потребителите да модифицират стартираните ядра.
  • lockdown= confidentiality ще ограничава възможността на потребителите да извличат поверителна информация от ядрото.

За коректното имплементиране на функцията по заключването Торвалдс, който в началото беше неин противник, е организирал множество ревюта и дискусии по въпроса, а също така са налични и много преправяния на кода на Linux ядрото, за да се подсигури фактът, че тя няма да засегне нормалната му работа и ще работи точно по начина, по който се предвижда.

Прочетете още:  Излезе Wine 5.1 с 32 поправени проблема
5/5 (1 Review)
Абониране
Извести ме за
guest
0 Comments
Inline Feedbacks
View all comments