Linux 5.4 कर्नेल को कर्नेल आंतरिक में रूट एक्सेस प्रतिबंधित करने के लिए पैच प्राप्त हुए

लिनुस टॉर्वाल्ड्स स्वीकार किया लिनक्स 5.4 कर्नेल की आगामी रिलीज़ में पैच का एक सेट शामिल है "लॉकडाउन' प्रस्तावित डेविड हॉवेल्स (रेड हैट) और मैथ्यू गैरेट (मैथ्यू गेरेट, Google पर काम करता है) कर्नेल तक रूट उपयोगकर्ता की पहुंच को प्रतिबंधित करने के लिए। लॉकडाउन-संबंधित कार्यक्षमता वैकल्पिक रूप से लोड किए गए एलएसएम मॉड्यूल में शामिल है (लिनक्स सुरक्षा मॉड्यूल), जो यूआईडी 0 और कर्नेल के बीच एक बाधा डालता है, जो कुछ निम्न-स्तरीय कार्यक्षमता को प्रतिबंधित करता है।

यदि कोई हमलावर रूट अधिकारों के साथ कोड निष्पादन प्राप्त करता है, तो वह अपने कोड को कर्नेल स्तर पर निष्पादित कर सकता है, उदाहरण के लिए, kexec का उपयोग करके कर्नेल को प्रतिस्थापित करके या /dev/kmem के माध्यम से मेमोरी को पढ़कर/लिखकर। ऐसी गतिविधि का सबसे स्पष्ट परिणाम हो सकता है उपमार्ग यूईएफआई सिक्योर बूट या कर्नेल स्तर पर संग्रहीत संवेदनशील डेटा को पुनः प्राप्त करना।

प्रारंभ में, रूट प्रतिबंध फ़ंक्शन सत्यापित बूट की सुरक्षा को मजबूत करने के संदर्भ में विकसित किए गए थे, और वितरण काफी समय से यूईएफआई सिक्योर बूट के बाईपास को ब्लॉक करने के लिए तीसरे पक्ष के पैच का उपयोग कर रहे हैं। साथ ही, ऐसे प्रतिबंधों को कर्नेल की मुख्य संरचना में शामिल नहीं किया गया था असहमति उनके कार्यान्वयन में और मौजूदा प्रणालियों में व्यवधान की आशंका है। "लॉकडाउन" मॉड्यूल ने वितरण में पहले से उपयोग किए गए पैच को अवशोषित कर लिया, जिन्हें यूईएफआई सिक्योर बूट से बंधे नहीं एक अलग सबसिस्टम के रूप में फिर से डिजाइन किया गया था।

लॉकडाउन मोड /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes डिबग मोड, mmiotrace, ट्रेसफ़्स, BPF, PCMCIA CIS (कार्ड सूचना संरचना), कुछ ACPI इंटरफ़ेस और CPU तक पहुंच को प्रतिबंधित करता है। MSR रजिस्टर, kexec_file और kexec_load कॉल अवरुद्ध हैं, स्लीप मोड निषिद्ध है, PCI उपकरणों के लिए DMA का उपयोग सीमित है, EFI चर से ACPI कोड आयात निषिद्ध है,
सीरियल पोर्ट के लिए इंटरप्ट नंबर और I/O पोर्ट को बदलने सहित I/O पोर्ट के साथ हेरफेर की अनुमति नहीं है।

डिफ़ॉल्ट रूप से, लॉकडाउन मॉड्यूल सक्रिय नहीं है, यह तब बनाया जाता है जब SECURITY_LOCKDOWN_LSM विकल्प kconfig में निर्दिष्ट होता है और कर्नेल पैरामीटर "लॉकडाउन =", नियंत्रण फ़ाइल "/sys/कर्नेल/सुरक्षा/लॉकडाउन" या असेंबली विकल्पों के माध्यम से सक्रिय होता है लॉक_डाउन_कर्नेल_फोर्स_*, जो "अखंडता" और "गोपनीयता" मान ले सकता है। पहले मामले में, वे सुविधाएँ जो उपयोगकर्ता स्थान से चल रहे कर्नेल में परिवर्तन करने की अनुमति देती हैं, अवरुद्ध कर दी जाती हैं, और दूसरे मामले में, कर्नेल से संवेदनशील जानकारी निकालने के लिए उपयोग की जा सकने वाली कार्यक्षमता भी अक्षम कर दी जाती है।

यह ध्यान रखना महत्वपूर्ण है कि लॉकडाउन केवल कर्नेल तक मानक पहुंच को सीमित करता है, लेकिन कमजोरियों के शोषण के परिणामस्वरूप संशोधनों से रक्षा नहीं करता है। जब ओपनवॉल प्रोजेक्ट द्वारा शोषण का उपयोग किया जाता है तो चल रहे कर्नेल में परिवर्तनों को अवरुद्ध करने के लिए विकसित हो रहा है अलग मॉड्यूल एलकेआरजी (लिनक्स कर्नेल रनटाइम गार्ड)।

स्रोत: opennet.ru