ProHoster > Blog > nouvèl sou entènèt > Kernel Linux 5.4 te resevwa plak pou limite aksè rasin nan entèn nwayo yo

Kernel Linux 5.4 te resevwa plak pou limite aksè rasin nan entèn nwayo yo

Linus Torvalds aksepte enkli nan liberasyon k ap vini nwayo Linux 5.4 la se yon seri plak "fèmen pòt", pwopoze David Howells (Red Hat) ak Matthew Garrett (Matye Garrett, travay nan Google) pou limite aksè itilizatè rasin nan nwayo a. Fonksyonalite ki gen rapò ak fèmen pòt enkli nan yon modil LSM ki si ou vle chaje (Linux Sekirite Modil), ki mete yon baryè ant UID 0 ak nwayo a, ki mete restriksyon sou sèten fonksyonalite ba nivo.

Si yon atakè reyalize kòd ekzekisyon ak dwa rasin, li ka egzekite kòd li nan nivo nwayo a, pou egzanp, lè li ranplase nwayo a lè l sèvi avèk kexec oswa lekti/ekri memwa atravè /dev/kmem. Konsekans ki pi evidan nan aktivite sa yo ka detou UEFI Secure Boot oswa rekipere done sansib ki estoke nan nivo nwayo a.

Okòmansman, fonksyon restriksyon rasin yo te devlope nan yon kontèks ranfòse pwoteksyon bòt verifye, ak distribisyon yo te itilize plak twazyèm pati pou bloke kontoune UEFI Secure Boot pou kèk tan. An menm tan an, restriksyon sa yo pa te enkli nan konpozisyon prensipal la nan nwayo a akòz dezakò nan aplikasyon yo ak laperèz nan dezòd nan sistèm ki egziste deja. Modil "fèmen an" absòbe plak ki te deja itilize nan distribisyon, ki te reamenaje nan fòm lan nan yon subsistèm separe pa mare nan UEFI Secure Boot.

Mòd fèmen pòt mete restriksyon sou aksè nan /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mòd, mmiotrace, tracefs, BPF, PCMCIA CIS (Estrikti Enfòmasyon sou Kat), kèk koòdone ACPI ak CPU. Anrejistre MSR, apèl kexec_file ak kexec_load bloke, mòd dòmi entèdi, itilizasyon DMA pou aparèy PCI limite, enpòte kòd ACPI soti nan varyab EFI yo entèdi,
Manipilasyon ak pò I/O yo pa pèmèt, tankou chanje nimewo entèwonp ak pò I/O pou pò seri a.

Pa default, modil fèmen pòt la pa aktif, li bati lè opsyon SECURITY_LOCKDOWN_LSM espesifye nan kconfig epi li aktive atravè paramèt nwayo "lockdown =", dosye kontwòl "/sys/kernel/security/lockdown" oswa opsyon asanble. LOCK_DOWN_KERNEL_FORCE_*, ki ka pran valè yo "entegrite" ak "konfidansyalite". Nan premye ka a, karakteristik ki pèmèt chanjman yo dwe fè nan nwayo a kouri soti nan espas itilizatè yo bloke, ak nan dezyèm ka a, fonksyonalite ki ka itilize yo ekstrè enfòmasyon sansib nan nwayo a se tou enfim.

Li enpòtan pou sonje ke fèmen pòt sèlman limite aksè estanda nan nwayo a, men li pa pwoteje kont modifikasyon kòm rezilta eksplwatasyon frajilite yo. Pou bloke chanjman nan nwayo a kouri lè eksplwatasyon yo itilize pa pwojè a Openwall ap devlope modil separe LKRG (Linux Kernel Runtime Gad).

Sous: opennet.ru

Add nouvo kòmantè