Linux 5.4 कर्नलला कर्नल इंटर्नलमध्ये रूट प्रवेश मर्यादित करण्यासाठी पॅच प्राप्त झाले आहेत

लिनस टॉरवाल्ड्स स्वीकारले Linux 5.4 कर्नलच्या आगामी प्रकाशनामध्ये समाविष्ट केलेले पॅचेसचा संच आहे "कुलुपबंद", प्रस्तावित डेव्हिड हॉवेल्स (रेड हॅट) आणि मॅथ्यू गॅरेट (मॅथ्यू गॅरेट, Google वर कार्य करते) रूट वापरकर्त्याचा कर्नल प्रवेश प्रतिबंधित करण्यासाठी. लॉकडाउन-संबंधित कार्यक्षमता वैकल्पिकरित्या लोड केलेल्या LSM मॉड्यूलमध्ये समाविष्ट केली आहे (लिनक्स सुरक्षा मॉड्यूल), जे UID 0 आणि कर्नल दरम्यान अडथळा आणते, विशिष्ट निम्न-स्तरीय कार्यक्षमता प्रतिबंधित करते.

जर आक्रमणकर्त्याने रूट अधिकारांसह कोडची अंमलबजावणी केली, तर तो कर्नल स्तरावर त्याचा कोड कार्यान्वित करू शकतो, उदाहरणार्थ, kexec वापरून कर्नल बदलून किंवा /dev/kmem द्वारे मेमरी वाचणे/लेखन करून. अशा क्रियाकलापांचा सर्वात स्पष्ट परिणाम असू शकतो वळसा UEFI सुरक्षित बूट किंवा कर्नल स्तरावर संग्रहित संवेदनशील डेटा पुनर्प्राप्त करणे.

सुरुवातीला, सत्यापित बूटचे संरक्षण मजबूत करण्याच्या संदर्भात रूट प्रतिबंध कार्ये विकसित केली गेली आणि वितरणे बर्‍याच काळापासून UEFI सुरक्षित बूटचे बायपास अवरोधित करण्यासाठी तृतीय-पक्ष पॅचेस वापरत आहेत. त्याच वेळी, अशा निर्बंधांमुळे कर्नलच्या मुख्य रचनामध्ये समाविष्ट केले गेले नाही मतभेद त्यांच्या अंमलबजावणीमध्ये आणि विद्यमान प्रणालींमध्ये व्यत्यय येण्याची भीती. "लॉकडाउन" मॉड्यूलने आधीच वितरणामध्ये वापरलेले पॅचेस शोषले गेले, जे UEFI सुरक्षित बूटशी जोडलेले नसलेल्या वेगळ्या उपप्रणालीच्या रूपात पुन्हा डिझाइन केले गेले.

लॉकडाउन मोड /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes डीबग मोड, mmiotrace, tracefs, BPF, PCMCIA CIS (कार्ड माहिती संरचना), काही ACPI इंटरफेस आणि CPU वर प्रवेश प्रतिबंधित करतो. MSR नोंदणी, kexec_file आणि kexec_load कॉल अवरोधित आहेत, स्लीप मोड प्रतिबंधित आहे, PCI उपकरणांसाठी DMA वापर मर्यादित आहे, EFI व्हेरिएबल्समधून ACPI कोड आयात करण्यास मनाई आहे,
सिरीयल पोर्टसाठी व्यत्यय क्रमांक आणि I/O पोर्ट बदलण्यासह, I/O पोर्टसह हाताळणी करण्यास परवानगी नाही.

डीफॉल्टनुसार, लॉकडाउन मॉड्यूल सक्रिय नसते, जेव्हा SECURITY_LOCKDOWN_LSM पर्याय kconfig मध्ये निर्दिष्ट केला जातो आणि कर्नल पॅरामीटर “lockdown=”, कंट्रोल फाइल “/sys/kernel/security/lockdown” किंवा असेंबली पर्यायांद्वारे सक्रिय केला जातो तेव्हा ते तयार केले जाते. LOCK_DOWN_KERNEL_FORCE_*, जे "अखंडता" आणि "गोपनीयता" मूल्ये घेऊ शकतात. पहिल्या प्रकरणात, वापरकर्त्याच्या जागेवरून चालू असलेल्या कर्नलमध्ये बदल करण्याची परवानगी देणारी वैशिष्ट्ये अवरोधित केली जातात आणि दुसऱ्या प्रकरणात, कर्नलमधून संवेदनशील माहिती काढण्यासाठी वापरता येणारी कार्यक्षमता देखील अक्षम केली जाते.

हे लक्षात घेणे महत्त्वाचे आहे की लॉकडाउन केवळ कर्नलच्या मानक प्रवेशास मर्यादित करते, परंतु असुरक्षिततेच्या शोषणाच्या परिणामी बदलांपासून संरक्षण करत नाही. ओपनवॉल प्रोजेक्टद्वारे एक्स्प्लोइट्स वापरले जातात तेव्हा चालू कर्नलमधील बदल अवरोधित करण्यासाठी विकसित होते स्वतंत्र मॉड्यूल LKRG (लिनक्स कर्नल रनटाइम गार्ड).

स्त्रोत: opennet.ru