Linux 5.4 कर्नेलले कर्नेल भित्रीहरूमा रूट पहुँच सीमित गर्न प्याचहरू प्राप्त गरेको छ

लिनस टोरवाल्ड्स prinyal लिनक्स 5.4 कर्नेलको आगामी रिलीजमा समावेश प्याचहरूको सेट हो "लकडाउन", प्रस्तावित डेभिड होवेल्स (रेड ह्याट) र म्याथ्यू ग्यारेट (म्याथ्यू गैरेट, गुगलमा काम गर्दछ) कर्नेलमा रूट प्रयोगकर्ता पहुँच प्रतिबन्ध गर्न। लकडाउन-सम्बन्धित कार्यक्षमता वैकल्पिक रूपमा लोड गरिएको LSM मोड्युलमा समावेश गरिएको छ (लिनक्स सुरक्षा मोड्युल), जसले UID 0 र कर्नेलको बीचमा बाधा राख्छ, निश्चित तल्लो स्तरको कार्यक्षमतालाई प्रतिबन्धित गर्दछ।

यदि एक आक्रमणकर्ताले रूट अधिकारहरूसँग कोड कार्यान्वयन प्राप्त गर्दछ भने, उसले कर्नेल स्तरमा आफ्नो कोड कार्यान्वयन गर्न सक्छ, उदाहरणका लागि, kexec प्रयोग गरेर वा /dev/kmem मार्फत मेमोरी पढ्न/लेख्ने गरी कर्नेल प्रतिस्थापन गरेर। यस्तो गतिविधिको सबैभन्दा स्पष्ट परिणाम हुन सक्छ बाइपास UEFI सुरक्षित बुट वा कर्नेल स्तरमा भण्डारण गरिएको संवेदनशील डाटा पुन: प्राप्त गर्दै।

प्रारम्भमा, रुट प्रतिबन्ध कार्यहरू प्रमाणित बुटको सुरक्षालाई सुदृढ गर्ने सन्दर्भमा विकसित गरिएको थियो, र वितरणहरूले केही समयदेखि UEFI सुरक्षित बुटको बाइपास रोक्न तेस्रो-पक्ष प्याचहरू प्रयोग गर्दै आएको छ। एकै समयमा, त्यस्ता प्रतिबन्धहरू कारण कर्नेलको मुख्य संरचनामा समावेश गरिएको थिएन असहमतिहरू तिनीहरूको कार्यान्वयनमा र अवस्थित प्रणालीहरूमा अवरोधको डर। "लकडाउन" मोड्युलले पहिल्यै वितरणहरूमा प्रयोग गरिएका प्याचहरू अवशोषित गरेको छ, जुन UEFI सुरक्षित बुटमा नजोडिएको छुट्टै उपप्रणालीको रूपमा पुन: डिजाइन गरिएको थियो।

लकडाउन मोडले /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes डिबग मोड, mmiotrace, tracefs, BPF, PCMCIA CIS (कार्ड सूचना संरचना), केही ACPI इन्टरफेस र CPU मा पहुँच प्रतिबन्धित गर्दछ। MSR दर्ताहरू, kexec_file र kexec_load कलहरू अवरुद्ध छन्, निद्रा मोड निषेधित छ, PCI यन्त्रहरूका लागि DMA प्रयोग सीमित छ, EFI चरहरूबाट ACPI कोड आयात गर्न निषेध गरिएको छ,
I/O पोर्टहरूसँग हेरफेर गर्न अनुमति छैन, क्रमबद्ध पोर्टको लागि अवरोध नम्बर र I/O पोर्ट परिवर्तन सहित।

पूर्वनिर्धारित रूपमा, लकडाउन मोड्युल सक्रिय हुँदैन, यो निर्माण हुन्छ जब SECURITY_LOCKDOWN_LSM विकल्प kconfig मा निर्दिष्ट गरिन्छ र कर्नेल प्यारामिटर "lockdown=", नियन्त्रण फाइल "/sys/kernel/security/lockdown" वा असेंबली विकल्पहरू मार्फत सक्रिय हुन्छ। LOCK_DOWN_KERNEL_FORCE_*, जसले मानहरू "अखंडता" र "गोपनीयता" लिन सक्छ। पहिलो अवस्थामा, प्रयोगकर्ता स्पेसबाट चलिरहेको कर्नेलमा परिवर्तन गर्न अनुमति दिने सुविधाहरू अवरुद्ध छन्, र दोस्रो अवस्थामा, कर्नेलबाट संवेदनशील जानकारी निकाल्न प्रयोग गर्न सकिने कार्यक्षमता पनि असक्षम गरिएको छ।

यो नोट गर्न महत्त्वपूर्ण छ कि तालाबन्दीले कर्नेलमा मानक पहुँच मात्र सीमित गर्दछ, तर कमजोरीहरूको शोषणको परिणाम स्वरूप परिमार्जनहरू विरुद्ध सुरक्षा गर्दैन। ओपनवाल परियोजना द्वारा शोषण प्रयोग गर्दा चलिरहेको कर्नेलमा परिवर्तनहरू रोक्न विकास गर्दैछ अलग मोड्युल LKRG (लिनक्स कर्नेल रनटाइम गार्ड)।

स्रोत: opennet.ru