Linus Torvalds abegraff an der kommender Verëffentlechung vum Linux 5.4 Kernel ass e Set vu Patches "" David Howells (Red Hat) a Matthew Garrett (, schafft bei Google) fir de Root Benotzer Zougang zum Kernel ze beschränken. Lockdown-verbonne Funktionalitéit ass an engem optional geluedenen LSM Modul abegraff (), déi eng Barrière tëscht UID 0 an dem Kernel plazéiert, a beschränkt gewësse Low-Level Funktionalitéit.
Wann en Ugräifer d'Code-Ausféierung mat Root-Rechter erreecht, kann hien säi Code um Kernel-Niveau ausféieren, zum Beispill andeems de Kernel mat kexec ersetzt oder d'Lies-/Schreiwe-Erënnerung iwwer /dev/kmem ersetzt. Déi offensichtlechst Konsequenz vun esou Aktivitéit kann sinn UEFI Secure Boot oder recuperéieren sensibel Donnéeën um Kernel Niveau gespäichert.
Am Ufank goufen d'Root Restriktiounsfunktiounen am Kontext vun der Stäerkung vum Schutz vu verifizéiertem Boot entwéckelt, a Verdeelungen hunn Drëtt-Partei Patches benotzt fir de Bypass vum UEFI Secure Boot fir eng laang Zäit ze blockéieren. Zur selwechter Zäit goufen esou Restriktiounen net an der Haaptzesummesetzung vum Kernel abegraff wéinst an hirer Ëmsetzung an Ängschte vun Stéierungen vun bestehend Systemer. De "Lockdown" Modul absorbéiert Patches, déi scho a Verdeelungen benotzt goufen, déi nei entworf goufen a Form vun engem getrennten Subsystem net un UEFI Secure Boot gebonnen.
Sperrmodus beschränkt Zougang zu /dev/mem, /dev/kmem, /dev/port, /proc/kcore, Debugfs, kprobes Debug Mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), e puer ACPI Interfaces an CPU MSR Registere, kexec_file an kexec_load Uruff sinn blockéiert, Schlofmodus ass verbueden, DMA Notzung fir PCI Geräter ass limitéiert, ACPI Code Import vun EFI Variablen ass verbueden,
Manipulatioune mat ech / O Häfen sinn net erlaabt, dorënner Ännerung vun der Ënnerbriechung Zuel an ech / O port fir de Serien port.
Par défaut ass de Sperrmodul net aktiv, et gëtt gebaut wann d'SECURITY_LOCKDOWN_LSM Optioun an kconfig spezifizéiert ass an duerch de Kernelparameter "lockdown=" aktivéiert gëtt, d'Kontrolldatei "/sys/kernel/security/lockdown" oder Assembléeoptiounen , déi d'Wäerter "Integritéit" a "Vertraulechkeet" huelen. Am éischte Fall sinn d'Features, déi Ännerunge fir de lafende Kernel aus dem Benotzerraum gemaach hunn, blockéiert, an am zweete Fall ass d'Funktionalitéit déi benotzt ka ginn fir sensibel Informatioun aus dem Kernel ze extrahieren och deaktivéiert.
Et ass wichteg ze bemierken datt de Lockdown nëmmen den Standardzougang zum Kernel limitéiert, awer net géint Ännerungen schützt als Resultat vun der Ausbeutung vu Schwachstelle. Fir Ännerunge vum lafende Kernel ze blockéieren wann Exploiten vum Openwall Projet benotzt ginn separat Modul (Linux Kernel Runtime Guard).
Source: opennet.ru