Im Linux-Kernel 5.4 wurden Patches zur EinschrÀnkung des Root-Zugriffs auf interne Kernel-Komponenten angenommen.

Linus Torvalds hat Im kommenden Release des Linux-Kernels 5.4 wird ein Patch-Set "lockdown«, vorgeschlagen entwickelt von David Howells (arbeitet bei Red Hat) und Matthew Garrett (Matthew Garrett, arbeitet bei Google) zur EinschrÀnkung des Zugriffs des Root-Benutzers auf den Kernel. Die mit "lockdown" verbundene FunktionalitÀt wird in ein optional ladbares LSM-Modul (Linux Security Module) ausgelagert, das eine Barriere zwischen UID 0 und dem Kernel setzt und bestimmte Low-Level-Funktionen einschrÀnkt.

Wenn ein Angreifer durch einen Angriff die AusfĂŒhrung von Code mit Root-Rechten erlangt, kann er seinen Code auch auf Kernel-Ebene ausfĂŒhren, zum Beispiel durch den Austausch des Kernels mit kexec oder durch das Lesen/Schreiben von Speicher ĂŒber /dev/kmem. Die offensichtlichste Folge einer solchen AktivitĂ€t könnte sein, dass Umgehung des UEFI Secure Boot oder die Extraktion vertraulicher Daten, die auf Kernel-Ebene gespeichert sind.

UrsprĂŒnglich wurden die Funktionen zur EinschrĂ€nkung von Root im Kontext der Verbesserung der Sicherheit der verifiziertem Boot entwickelt, und Distributionen verwenden seit langem externe Patches, um die Umgehung des UEFI Secure Boot zu blockieren. Diese EinschrĂ€nkungen wurden jedoch nicht in den Hauptkern aufgenommen aufgrund von Meinungsverschiedenheiten In ihrer Umsetzung und den Bedenken ĂŒber die BeeintrĂ€chtigung bestehender Systeme fasst das Modul „lockdown“ bereits in Distributionen verwendete Patches zusammen, die in Form eines separaten Subsystems ĂŒberarbeitet wurden, das nicht an UEFI Secure Boot gebunden ist.

Im Lockdown-Modus wird der Zugriff auf /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, den Debug-Modus von kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), einige ACPI-Schnittstellen und MSR-Register der CPU eingeschrĂ€nkt, kexec_file und kexec_load-Aufrufe werden blockiert, der Übergang in den Schlafmodus ist verboten, die Verwendung von DMA fĂŒr PCI-GerĂ€te wird limitiert, und das Importieren von ACPI-Code aus EFI-Variablen ist nicht zulĂ€ssig.
Manipulationen mit Ein-/Ausgabe-Ports sind nicht erlaubt, einschließlich der Änderung der Interruptnummer und des Ein-/Ausgabe-Ports fĂŒr den seriellen Port.

StandardmĂ€ĂŸig ist das Lockdown-Modul nicht aktiv. Es wird erstellt, wenn in kconfig die Option SECURITY_LOCKDOWN_LSM angegeben wird, und aktiviert sich ĂŒber den Kernel-Parameter „lockdown=“, die Steuerdatei „/sys/kernel/security/lockdown“ oder die Build-Optionen. LOCK_DOWN_KERNEL_FORCE_*, die Werte wie „IntegritĂ€t“ und „Vertraulichkeit“ annehmen können. Im ersten Fall werden die Möglichkeiten blockiert, die es ermöglichen, Änderungen am laufenden Kernel aus dem Benutzerspeicher vorzunehmen; im zweiten Fall wird zusĂ€tzlich die FunktionalitĂ€t deaktiviert, die zum Abrufen vertraulicher Informationen aus dem Kernel genutzt werden kann.

Es ist wichtig zu beachten, dass der Lockdown nur die standardmĂ€ĂŸigen Zugriffsmöglichkeiten auf den Kernel einschrĂ€nkt, jedoch nicht vor Modifikationen schĂŒtzt, die durch die Ausnutzung von Schwachstellen entstehen. Um Änderungen am laufenden Kernel bei der Anwendung von Exploits zu verhindern, hat das Projekt Openwall seit Sommer 2016). Bis Ende 2019 ist die Veröffentlichung einer weiteren experimentellen Version der GTK 3.9x-Reihe geplant, gefolgt von einem finalen Testrelease von GTK 3.99 im FrĂŒhling 2020, das alle angestrebten Funktionen enthalten wird. Die Veröffentlichung von GTK 4 wird fĂŒr Anfang Herbst 2020 erwartet, zeitgleich mit GNOME 3.38. ein separates Modul LKRG (Linux Kernel Runtime Guard) angenommen.

Quelle: opennet.ru

Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster