Linux 5.4 커널은 커널 내부에 대한 루트 액세스를 제한하는 패치를 받았습니다.

리누스 토발즈 받아 들였다. 곧 출시될 Linux 5.4 커널 릴리스에는 패치 세트가 포함되어 있습니다.잠금", 제안 된 David Howells(Red Hat) 및 Matthew Garrett(매튜 개렛, Google에서 작업) 커널에 대한 루트 사용자 액세스를 제한합니다. 잠금 관련 기능은 선택적으로 로드되는 LSM 모듈(Linux 보안 모듈)는 UID 0과 커널 사이에 장벽을 배치하여 특정 하위 수준 기능을 제한합니다.

공격자가 루트 권한으로 코드 실행을 달성하면 예를 들어 kexec를 사용하여 커널을 교체하거나 /dev/kmem을 통해 메모리를 읽고 쓰는 등의 방법으로 커널 수준에서 코드를 실행할 수 있습니다. 그러한 활동의 ​​가장 명백한 결과는 다음과 같습니다. 우회로 UEFI 보안 부팅 또는 커널 수준에 저장된 중요한 데이터 검색.

처음에는 자체 검사 부팅 보호 강화라는 맥락에서 루트 제한 기능이 개발되었으며, 배포판에서는 꽤 오랫동안 UEFI 보안 부팅 우회를 차단하기 위해 타사 패치를 사용해 왔습니다. 동시에 이러한 제한은 커널의 주요 구성에 포함되지 않았습니다. 불일치 구현 및 기존 시스템 중단에 대한 두려움. "잠금" 모듈은 배포판에 이미 사용된 패치를 흡수했으며, 이는 UEFI 보안 부팅에 연결되지 않은 별도의 하위 시스템 형태로 재설계되었습니다.

잠금 모드는 /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes 디버그 모드, mmiotrace, Tracefs, BPF, PCMCIA CIS(카드 정보 구조), 일부 ACPI 인터페이스 및 CPU에 대한 액세스를 제한합니다. MSR 레지스터, kexec_file 및 kexec_load 호출이 차단되고, 절전 모드가 금지되고, PCI 장치에 대한 DMA 사용이 제한되고, EFI 변수에서 ACPI 코드 가져오기가 금지됩니다.
인터럽트 번호 및 직렬 포트의 I/O 포트 변경을 포함하여 I/O 포트를 조작하는 것은 허용되지 않습니다.

기본적으로 잠금 모듈은 활성화되어 있지 않으며 SECURITY_LOCKDOWN_LSM 옵션이 kconfig에 지정되어 있을 때 빌드되고 커널 매개변수 "lockdown=", 제어 파일 "/sys/kernel/security/lockdown" 또는 어셈블리 옵션을 통해 활성화됩니다. LOCK_DOWN_KERNEL_FORCE_*, 이는 "무결성" 및 "기밀성" 값을 가질 수 있습니다. 첫 번째 경우에는 사용자 공간에서 실행 중인 커널을 변경할 수 있는 기능이 차단되고, 두 번째 경우에는 커널에서 중요한 정보를 추출하는 데 사용할 수 있는 기능도 비활성화됩니다.

잠금은 커널에 대한 표준 액세스만 제한할 뿐, 취약점 악용으로 인한 수정을 방지할 수는 없다는 점에 유의하는 것이 중요합니다. Openwall 프로젝트에서 익스플로잇을 사용할 때 실행 중인 커널에 대한 변경을 차단하려면 개발 중 별도의 모듈 LKRG (리눅스 커널 런타임 가드).

출처 : opennet.ru