Linus Torvalds inclusu in a prossima liberazione di u kernel Linux 5.4 hè un inseme di patch "", David Howells (Red Hat) è Matthew Garrett (, travaglia in Google) per limità l'accessu di l'utilizatori root à u kernel. A funziunalità ligata à u bloccu hè inclusa in un modulu LSM caricatu opzionalmente (), chì pone una barriera trà UID 0 è u kernel, restringendu certe funziunalità di livellu bassu.
Se un attaccu ottene l'esekzione di codice cù diritti di root, pò eseguisce u so codice à u nivellu di u kernel, per esempiu, rimpiazzendu u kernel cù kexec o lettura / scrittura di memoria via /dev/kmem. A cunsiquenza più evidenti di tali attività pò esse UEFI Secure Boot o ricuperazione di dati sensibili almacenati à u livellu di u kernel.
Inizialmente, e funzioni di restrizzione di a radica sò state sviluppate in u cuntestu di rinfurzà a prutezzione di l'avvio verificatu, è e distribuzioni anu utilizatu patch di terzu per bluccà u bypass di UEFI Secure Boot per un bellu pezzu. À u listessu tempu, tali restrizioni ùn sò micca incluse in a cumpusizioni principali di u kernel per via di in a so implementazione è teme di disturbà i sistemi esistenti. U modulu "lockdown" hà assorbutu patch digià utilizati in distribuzioni, chì sò stati riprogettati in forma di un sottosistema separatu micca ligatu à UEFI Secure Boot.
U modu di bloccu limita l'accessu à /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), alcune interfacce ACPI è CPU. I registri MSR, i chjamati kexec_file è kexec_load sò bluccati, u modu di sonnu hè pruibitu, l'usu di DMA per i dispositi PCI hè limitatu, l'importazione di codice ACPI da variabili EFI hè pruibita,
Manipulazioni cù porti I / O ùn sò micca permessi, cumpresu cambià u numeru di interruzzione è u portu I / O per u portu seriale.
Per automaticamente, u modulu di bloccu ùn hè micca attivu, hè custruitu quandu l'opzione SECURITY_LOCKDOWN_LSM hè specificata in kconfig è hè attivata per mezu di u paràmetru di u kernel "lockdown =", u schedariu di cuntrollu "/sys/kernel/security/lockdown" o l'opzioni di assemblea. , chì pò piglià i valori "integrità" è "cunfidenziale". In u primu casu, i funziunalità chì permettenu di fà cambiamenti à u kernel in esecuzione da u spaziu di l'utilizatori sò bluccati, è in u sicondu casu, a funziunalità chì pò esse aduprata per caccià l'infurmazioni sensitivi da u kernel hè ancu disattivata.
Hè impurtante di nutà chì u bloccu limita solu l'accessu standard à u kernel, ma ùn pruteghja micca da e mudificazioni in u risultatu di sfruttamentu di vulnerabili. Per bluccà cambiamenti à u kernel in esecuzione quandu i sfruttamenti sò usati da u prughjettu Openwall modulu separatu (Linux Kernel Runtime Guard).
Source: opennet.ru