Linus Torvalds tulevasse Linux 5.4 tuumavÀljaande komplekti plaastritega "«, David Howells'iga (David Howells, töötab Red Hat'is) ja Matthew Garrett'iga (, töötab Google'is), et piirata root-kasutaja juurdepÀÀsu tuumale. "lockdown" funktsionaalsus on viidud valikuliselt laaditavasse LSM-mooduli (), mis loob barjÀÀri UID 0 ja tuuma vahel, piirates teatud madala taseme funktsionaalsust.
Kui rĂŒndaja suudab rĂŒnnaku tulemusena kĂ€ivitada koodi root'i Ă”igustes, saab ta oma koodi kĂ€ivitada ka tuuma tasemel, nĂ€iteks tuuma asendamise kaudu kexec'iga vĂ”i mĂ€lu lugemise/kirjutamise kaudu /dev/kmem. Sellise tegevuse kĂ”ige ilmselgem tagajĂ€rg vĂ”ib olla UEFI Secure Boot'ist vĂ”i konfidentsiaalsete andmete vĂ€ljavĂ”tmine, mis on salvestatud tuuma tasemel.
Alguses arendati root'i piiramise funktsioone sertifitseeritud laadimise kaitse tugevdamise kontekstis ja jaotused on juba piisavalt kaua kasutanud kolmandate osapoolte plaastrite kombinatsioone, et takistada UEFI Secure Boot'i ĂŒmbersĂ”itu. Sellegipoolest ei ole sellised piirangud pĂ”hituuma hulka kaasatud nende rakendamine ja mure olemasolevate sĂŒsteemide töö katkestamise ĂŒle. Moodul âlockdownâ sisaldab juba jaotistes kasutatavaid plaastreid, mis on töödeldud eraldi alamsĂŒsteemina, mis ei ole seotud UEFI Secure Bootiga.
Lockdown-reĆŸiimis on piiratud juurdepÀÀs /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobesi silumisreĆŸiim, mmiotrace, tracefs, BPF, PCMCIA CIS (kaardi teabe struktuur), mĂ”ned ACPI liidendid ja CPU MSR-registerid, blokeeritakse kexec_file ja kexec_load kutseid, keelatakse uinumisse minek, piiratakse DMA kasutamist PCI-seadmete jaoks, keelatakse ACPI koodi importimine EFI muutuja kaudu.
ei lubata sisendi/vÀljundi portidega manipuleerida, sealhulgas katkestuse numbri ja sisendi/vÀljundi portaali muutmine jÀrjestusporti jaoks.
Moodi lockdown pole vaikimisi aktiivne, see kompileeritakse siis, kui kconfigis mÀÀratakse valik SECURITY_LOCKDOWN_LSM, ja aktiveeritakse kernele âlockdown=â parameetri, faili â/sys/kernel/security/lockdownâ kaudu vĂ”i kompileerimisvalikute kaudu. , mis vĂ”ivad vĂ”tta vÀÀrtusi âintegrityâ ja âconfidentialityâ. Esimesel juhul blokeeritakse vĂ”imalused, mis vĂ”imaldavad muuta töötavat tuuma kasutaja ruumist, ning teisel juhul vĂ€ljalĂŒlitatakse funktsionaalsus, mida saab kasutada konfidentsiaalse teabe tuumast vĂ€ljavĂ”tmiseks.
Oluline on mÀrkida, et lockdown piirdub ainult tuumale juurdepÀÀsu tavapÀraste vÔimaluste piiramisega, kuid ei kaitse muudatuste eest, mis tulenevad haavatavuste Àrakasutamisest. Muudatuste blokeerimiseks töötavas tuumas, kui kasutatakse eksploidijaid, saavad projekti Openwall eraldi moodul (Linux Kernel Runtime Guard).
Allikas: opennet.ru
