Linuxi kernelisse 5.4 on vastu vÔetud plaastrid, mis piiravad root'i juurdepÀÀsu kernel'i siseasjadele.

Linus Torvalds heitis tulevasse Linux 5.4 tuumavÀljaande komplekti plaastritega "lockdown«, pakutud David Howells'iga (David Howells, töötab Red Hat'is) ja Matthew Garrett'iga (Matthew Garrett, töötab Google'is), et piirata root-kasutaja juurdepÀÀsu tuumale. "lockdown" funktsionaalsus on viidud valikuliselt laaditavasse LSM-mooduli (Linux Security Module), mis loob barjÀÀri UID 0 ja tuuma vahel, piirates teatud madala taseme funktsionaalsust.

Kui rĂŒndaja suudab rĂŒnnaku tulemusena kĂ€ivitada koodi root'i Ă”igustes, saab ta oma koodi kĂ€ivitada ka tuuma tasemel, nĂ€iteks tuuma asendamise kaudu kexec'iga vĂ”i mĂ€lu lugemise/kirjutamise kaudu /dev/kmem. Sellise tegevuse kĂ”ige ilmselgem tagajĂ€rg vĂ”ib olla ĂŒmbersĂ”it UEFI Secure Boot'ist vĂ”i konfidentsiaalsete andmete vĂ€ljavĂ”tmine, mis on salvestatud tuuma tasemel.

Alguses arendati root'i piiramise funktsioone sertifitseeritud laadimise kaitse tugevdamise kontekstis ja jaotused on juba piisavalt kaua kasutanud kolmandate osapoolte plaastrite kombinatsioone, et takistada UEFI Secure Boot'i ĂŒmbersĂ”itu. Sellegipoolest ei ole sellised piirangud pĂ”hituuma hulka kaasatud erimeelsuste tĂ”ttu nende rakendamine ja mure olemasolevate sĂŒsteemide töö katkestamise ĂŒle. Moodul „lockdown” sisaldab juba jaotistes kasutatavaid plaastreid, mis on töödeldud eraldi alamsĂŒsteemina, mis ei ole seotud UEFI Secure Bootiga.

Lockdown-reĆŸiimis on piiratud juurdepÀÀs /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobesi silumisreĆŸiim, mmiotrace, tracefs, BPF, PCMCIA CIS (kaardi teabe struktuur), mĂ”ned ACPI liidendid ja CPU MSR-registerid, blokeeritakse kexec_file ja kexec_load kutseid, keelatakse uinumisse minek, piiratakse DMA kasutamist PCI-seadmete jaoks, keelatakse ACPI koodi importimine EFI muutuja kaudu.
ei lubata sisendi/vÀljundi portidega manipuleerida, sealhulgas katkestuse numbri ja sisendi/vÀljundi portaali muutmine jÀrjestusporti jaoks.

Moodi lockdown pole vaikimisi aktiivne, see kompileeritakse siis, kui kconfigis mÀÀratakse valik SECURITY_LOCKDOWN_LSM, ja aktiveeritakse kernele „lockdown=” parameetri, faili „/sys/kernel/security/lockdown” kaudu vĂ”i kompileerimisvalikute kaudu. LOCK_DOWN_KERNEL_FORCE_*, mis vĂ”ivad vĂ”tta vÀÀrtusi „integrity“ ja „confidentiality“. Esimesel juhul blokeeritakse vĂ”imalused, mis vĂ”imaldavad muuta töötavat tuuma kasutaja ruumist, ning teisel juhul vĂ€ljalĂŒlitatakse funktsionaalsus, mida saab kasutada konfidentsiaalse teabe tuumast vĂ€ljavĂ”tmiseks.

Oluline on mÀrkida, et lockdown piirdub ainult tuumale juurdepÀÀsu tavapÀraste vÔimaluste piiramisega, kuid ei kaitse muudatuste eest, mis tulenevad haavatavuste Àrakasutamisest. Muudatuste blokeerimiseks töötavas tuumas, kui kasutatakse eksploidijaid, saavad projekti Openwall arendatakse eraldi moodul LKRG (Linux Kernel Runtime Guard).

Allikas: opennet.ru

Osta usaldusvÀÀrne veebihosting DDoS kaitsega, VPS VDS serverid đŸ”„ Osta usaldusvÀÀrne veebihosting DDoS kaitsega, VPS VDS serverid | ProHoster