Linux 5.4-ის ბირთვმა მიიღო პატჩები, რათა შეზღუდოს root წვდომა ბირთვის ინტერიერში

ლინუს ტორვალდსი მიღებულია Linux 5.4 ბირთვის მომავალ გამოშვებაში შედის პატჩების ნაკრები "Lockdown«« შემოთავაზებული დევიდ ჰოუელსი (წითელი ქუდი) და მეთიუ გარეტი (მეთიუ გარეტი, მუშაობს Google-ში), რათა შეზღუდოს root მომხმარებლის წვდომა ბირთვზე. ჩაკეტვასთან დაკავშირებული ფუნქცია შედის სურვილისამებრ დატვირთულ LSM მოდულში (Linux უსაფრთხოების მოდული), რომელიც ათავსებს ბარიერს UID 0-სა და ბირთვს შორის, რაც ზღუდავს დაბალი დონის გარკვეულ ფუნქციებს.

თუ თავდამსხმელი აღწევს კოდის შესრულებას root უფლებებით, მას შეუძლია შეასრულოს თავისი კოდი ბირთვის დონეზე, მაგალითად, ბირთვის ჩანაცვლებით kexec-ის გამოყენებით ან მეხსიერების წაკითხვით/ჩაწერით /dev/kmem-ის საშუალებით. ასეთი საქმიანობის ყველაზე აშკარა შედეგი შეიძლება იყოს შემოვლითი UEFI Secure Boot ან ბირთვის დონეზე შენახული მგრძნობიარე მონაცემების მოძიება.

თავდაპირველად, root შეზღუდვის ფუნქციები შემუშავდა დამოწმებული ჩატვირთვის დაცვის გაძლიერების კონტექსტში და დისტრიბუციები იყენებდნენ მესამე მხარის პატჩებს UEFI Secure Boot-ის გვერდის ავლით დაბლოკვისთვის საკმაოდ დიდი ხნის განმავლობაში. ამავდროულად, ასეთი შეზღუდვები არ შედიოდა ბირთვის ძირითად შემადგენლობაში იმის გამო უთანხმოებები მათ განხორციელებაში და არსებული სისტემების შეფერხების შიში. „დაბლოკვის“ მოდულმა შთანთქა უკვე დისტრიბუციებში გამოყენებული პატჩები, რომლებიც გადაკეთდა ცალკე ქვესისტემის სახით, რომელიც არ იყო მიბმული UEFI Secure Boot-თან.

ჩაკეტვის რეჟიმი ზღუდავს წვდომას /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes გამართვის რეჟიმზე, mmiotrace, tracefs, BPF, PCMCIA CIS (ბარათის ინფორმაციის სტრუქტურა), ზოგიერთ ACPI ინტერფეისსა და CPU-ზე. MSR რეგისტრები, kexec_file და kexec_load ზარები დაბლოკილია, ძილის რეჟიმი აკრძალულია, DMA გამოყენება PCI მოწყობილობებისთვის შეზღუდულია, ACPI კოდის იმპორტი EFI ცვლადებიდან აკრძალულია,
I/O პორტებით მანიპულაციები დაუშვებელია, მათ შორის შეფერხების ნომრის და I/O პორტის შეცვლა სერიული პორტისთვის.

ნაგულისხმევად, ჩაკეტვის მოდული არ არის აქტიური, ის იქმნება, როდესაც kconfig-ში მითითებულია SECURITY_LOCKDOWN_LSM ოფცია და გააქტიურებულია ბირთვის პარამეტრის „lockdown=“, საკონტროლო ფაილის „/sys/kernel/security/lockdown“ ან ასამბლეის პარამეტრების მეშვეობით. LOCK_DOWN_KERNEL_FORCE_*, რომელსაც შეუძლია მიიღოს მნიშვნელობები "მთლიანობა" და "კონფიდენციალურობა". პირველ შემთხვევაში, ფუნქციები, რომლებიც საშუალებას აძლევს ცვლილებების შეტანას გაშვებულ ბირთვში მომხმარებლის სივრციდან იბლოკება, ხოლო მეორე შემთხვევაში, ასევე გამორთულია ფუნქცია, რომელიც შეიძლება გამოყენებულ იქნას ბირთვიდან მგრძნობიარე ინფორმაციის ამოსაღებად.

მნიშვნელოვანია აღინიშნოს, რომ ჩაკეტვა მხოლოდ ზღუდავს სტანდარტულ წვდომას ბირთვზე, მაგრამ არ იცავს მოდიფიკაციებისგან მოწყვლადობის ექსპლუატაციის შედეგად. გაშვებულ ბირთვში ცვლილებების დაბლოკვა, როდესაც ექსპლოიტები გამოიყენება Openwall პროექტის მიერ ვითარდება ცალკე მოდული LKRG (Linux Kernel Runtime Guard).

წყარო: opennet.ru