Linux 5.4 কার্নেল কার্নেলের অভ্যন্তরীণ রুট অ্যাক্সেস সীমিত করার জন্য প্যাচ পেয়েছে

লিনাস টরভাল্ডস প্রিনাল Linux 5.4 কার্নেলের আসন্ন রিলিজে অন্তর্ভুক্ত প্যাচগুলির একটি সেট "তালাবদ্ধ", প্রস্তাবিত ডেভিড হাওয়েলস (রেড হ্যাট) এবং ম্যাথিউ গ্যারেট (ম্যাথু গ্যারেট, Google-এ কাজ করে) কার্নেলে রুট ব্যবহারকারীর অ্যাক্সেস সীমাবদ্ধ করতে। লকডাউন-সম্পর্কিত কার্যকারিতা একটি ঐচ্ছিকভাবে লোড করা LSM মডিউলে অন্তর্ভুক্ত করা হয়েছে (লিনাক্স নিরাপত্তা মডিউল), যা UID 0 এবং কার্নেলের মধ্যে একটি বাধা স্থাপন করে, নির্দিষ্ট নিম্ন-স্তরের কার্যকারিতা সীমাবদ্ধ করে।

যদি একজন আক্রমণকারী রুট অধিকার সহ কোড এক্সিকিউশন অর্জন করে, তাহলে সে কার্নেল লেভেলে তার কোড এক্সিকিউট করতে পারে, উদাহরণস্বরূপ, kexec ব্যবহার করে কার্নেল প্রতিস্থাপন করে অথবা /dev/kmem এর মাধ্যমে মেমরি রিডিং/রাইটিং করে। এই ধরনের কার্যকলাপের সবচেয়ে সুস্পষ্ট পরিণতি হতে পারে চক্কর UEFI সিকিউর বুট বা কার্নেল স্তরে সংরক্ষিত সংবেদনশীল ডেটা পুনরুদ্ধার করা।

প্রাথমিকভাবে, যাচাইকৃত বুটের সুরক্ষাকে শক্তিশালী করার প্রেক্ষাপটে রুট সীমাবদ্ধতা ফাংশন তৈরি করা হয়েছিল, এবং বিতরণগুলি বেশ কিছুদিন ধরে UEFI সিকিউর বুটের বাইপাস ব্লক করতে তৃতীয় পক্ষের প্যাচ ব্যবহার করছে। একই সময়ে, এই ধরনের নিষেধাজ্ঞার কারণে কার্নেলের প্রধান রচনা অন্তর্ভুক্ত করা হয়নি মতভেদ তাদের বাস্তবায়নে এবং বিদ্যমান সিস্টেমে ব্যাঘাত ঘটার আশঙ্কা। "লকডাউন" মডিউলটি ইতিমধ্যেই বিতরণে ব্যবহৃত প্যাচগুলি শোষিত করেছে, যা UEFI সিকিউর বুটের সাথে আবদ্ধ নয় একটি পৃথক সাবসিস্টেম আকারে পুনরায় ডিজাইন করা হয়েছিল।

লকডাউন মোড /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes ডিবাগ মোড, mmiotrace, tracefs, BPF, PCMCIA CIS (কার্ড তথ্য কাঠামো), কিছু ACPI ইন্টারফেস এবং CPU-তে অ্যাক্সেস সীমাবদ্ধ করে। MSR রেজিস্টার, kexec_file এবং kexec_load কল ব্লক করা হয়েছে, স্লিপ মোড নিষিদ্ধ, PCI ডিভাইসের জন্য DMA ব্যবহার সীমিত, EFI ভেরিয়েবল থেকে ACPI কোড আমদানি নিষিদ্ধ,
সিরিয়াল পোর্টের জন্য ইন্টারাপ্ট নম্বর এবং I/O পোর্ট পরিবর্তন সহ I/O পোর্টের সাথে ম্যানিপুলেশন অনুমোদিত নয়।

ডিফল্টরূপে, লকডাউন মডিউল সক্রিয় থাকে না, এটি নির্মিত হয় যখন SECURITY_LOCKDOWN_LSM বিকল্পটি kconfig-এ নির্দিষ্ট করা হয় এবং কার্নেল প্যারামিটার “lockdown=”, কন্ট্রোল ফাইল “/sys/kernel/security/lockdown” বা সমাবেশ বিকল্পগুলির মাধ্যমে সক্রিয় করা হয়। LOCK_DOWN_KERNEL_FORCE_*, যা "সততা" এবং "গোপনীয়তা" মান নিতে পারে। প্রথম ক্ষেত্রে, ব্যবহারকারী স্থান থেকে চলমান কার্নেলে পরিবর্তন করার অনুমতি দেয় এমন বৈশিষ্ট্যগুলি ব্লক করা হয়, এবং দ্বিতীয় ক্ষেত্রে, কার্নেল থেকে সংবেদনশীল তথ্য বের করতে ব্যবহার করা যেতে পারে এমন কার্যকারিতাও অক্ষম করা হয়।

এটি লক্ষ করা গুরুত্বপূর্ণ যে লকডাউন শুধুমাত্র কার্নেলের মানক অ্যাক্সেসকে সীমিত করে, কিন্তু দুর্বলতার শোষণের ফলে পরিবর্তনগুলি থেকে রক্ষা করে না। ওপেনওয়াল প্রজেক্ট দ্বারা শোষণ ব্যবহার করা হলে চলমান কার্নেলের পরিবর্তনগুলিকে ব্লক করতে বিকাশ করছে পৃথক মডিউল এলকেআরজি (লিনাক্স কার্নেল রানটাইম গার্ড)।

উত্স: opennet.ru