Linus Torvalds opnommen yn 'e kommende release fan' e Linux 5.4 kernel is in set fan patches "", David Howells (Red Hat) en Matthew Garrett (, wurket by Google) om root-brûker tagong ta de kernel te beheinen. Lockdown-relatearre funksjonaliteit is opnommen yn in opsjoneel laden LSM-module (), dy't in barriêre pleatst tusken UID 0 en de kernel, beheine bepaalde funksjonaliteit op leech nivo.
As in oanfaller koade-útfiering berikt mei root-rjochten, kin hy syn koade op kernelnivo útfiere, bygelyks troch de kearn te ferfangen mei kexec of lês-/skriuwûnthâld fia /dev/kmem. De meast foar de hân lizzende gefolch fan sa'n aktiviteit kin wêze UEFI Secure Boot of it opheljen fan gefoelige gegevens opslein op kernelnivo.
Yn 't earstoan waarden funksjes foar rootbeheining ûntwikkele yn' e kontekst fan it fersterkjen fan 'e beskerming fan ferifiearre boot, en distribúsjes hawwe patches fan tredden brûkt om bypass fan UEFI Secure Boot in skoft te blokkearjen. Tagelyk waarden sokke beheiningen net opnommen yn 'e wichtichste gearstalling fan' e kearn fanwegen yn har ymplemintaasje en eangsten foar fersteuring fan besteande systemen. De module "lockdown" absorbearre patches dy't al brûkt waarden yn distribúsjes, dy't waarden opnij ûntwurpen yn 'e foarm fan in apart subsysteem net bûn oan UEFI Secure Boot.
Lockdown-modus beheint tagong ta /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debugmodus, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), guon ACPI-ynterfaces en CPU MSR-registers, kexec_file en kexec_load-oanroppen binne blokkearre, sliepmodus is ferbean, DMA-gebrûk foar PCI-apparaten is beheind, ACPI-koade ymportearje fan EFI-fariabelen is ferbean,
Manipulaasjes mei I / O havens binne net tastien, ynklusyf it feroarjen fan it interrupt nûmer en I / O haven foar de serial haven.
Standert is de lockdown-module net aktyf, it is boud as de SECURITY_LOCKDOWN_LSM-opsje is oantsjutte yn kconfig en wurdt aktivearre fia de kernelparameter "lockdown=", it kontrôletriem "/sys/kernel/security/lockdown" of assemblage-opsjes , dy't de wearden "yntegriteit" en "fertroulikens" kinne nimme. Yn it earste gefal wurde funksjes blokkearre wêrmei't wizigingen kinne wurde makke oan 'e rinnende kernel fan brûkersromte, en yn it twadde gefal is funksjonaliteit dy't brûkt wurde kin om gefoelige ynformaasje út 'e kernel te ekstrahearjen ek útskeakele.
It is wichtich om te notearjen dat lockdown allinich standert tagong ta de kernel beheint, mar net beskermet tsjin wizigingen as gefolch fan eksploitaasje fan kwetsberens. Om feroarings oan 'e rinnende kernel te blokkearjen as eksploaten wurde brûkt troch it Openwall-projekt aparte module (Linux Kernel Runtime Guard).
Boarne: opennet.ru