Në bërthamen Linux 5.4 janë pranuar patch-e për kufizimin e qasjes së root-it në brendësitë e bërthamës

Linus Torvalds pranoi në versionin e ardhshëm të bërthamës Linux 5.4 një grup patch-e "lockdown«, propozuar nga David Howells (punon në Red Hat) dhe Matthew Garrett (Matthew Garrett, punon në Google) për të kufizuar aksesin e përdoruesit root në bërthamë. Funksionaliteti i lidhur me "lockdown" është transferuar në një modul LSM që ngarkohet në mënyrë opsionale (Moduli i Sigurisë së Linuxit), që vendos një barrierë midis UID 0 dhe bërthamës, duke kufizuar disa funksionalitete të nivelit të ulët.

Nëse një sulmues arrin të ekzekutojë kodin me të drejta root si pasojë e një sulmi, ai mund të ekzekutojë kodin e tij edhe në nivelin e bërthamës, për shembull, përmes zëvendësimit të bërthamës përmes kexec ose duke lexuar/shkruar në memorie përmes /dev/kmem. Pasojat më të dukshme të një aktiviteti të tillë mund të jenë zhvendosja e UEFI Secure Boot ose nxjerrja e të dhënave të ndjeshme që ruhen në nivelin e bërthamës.

Fillimisht, funksionet e kufizimit të root-it janë zhvilluar në kontekstin e forcimit të mbrojtjes së ngarkesës së verifikuar dhe shpërndarjet kanë përmendur mjaft kohë përdorimin e patch-eve të jashtme për t'i bllokuar ato për të shmangur UEFI Secure Boot. Megjithatë, këto kufizime nuk janë përfshirë në bërthamën kryesore për shkak të mosmarrëveshjeve në realizimin e tyre dhe shqetësimeve për shkeljen e funksionimit të sistemeve ekzistuese. Moduli «lockdown» përfshin patches që tashmë janë përdorur në distribuimet, të cilat janë përpunuar në formën e një sipërmarrjeje të veçantë, e cila nuk është e lidhur me UEFI Secure Boot.

Në modin lockdown, është i kufizuar aksesin në /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, modin e rregullimit kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Struktura e Informacionit të Kartës), disa ndërfaqe ACPI dhe regjistrat MSR të CPU, bllokohen thirrjet kexec_file dhe kexec_load, ndalohet kalimi në modalitetin gjumë, kufizohet përdorimi i DMA për pajisjet PCI, ndalohet importimi i kodit ACPI nga variablat EFI,
nuk lejohet manipulimi me portet e input/output, përfshirë ndryshimin e numrit të ndërprerësit dhe portit të input/output për portin seri.

Me default, moduli lockdown nuk është aktiv, grumbullohet duke specifikuar opsionin në kconfig SECURITY_LOCKDOWN_LSM dhe aktivizohet përmes parametrave të kernel-it «lockdown=», skedari menaxhues «/sys/kernel/security/lockdown» ose opsionet e ndërtimit. LOCK_DOWN_KERNEL_FORCE_*, të cilat mund të kenë vlera "integritet" dhe "konfidencialitet". Në rastin e parë, bllokohen mundësitë që lejojnë modifikimin e bërthamës aktiv nga hapësira e përdoruesit, ndërsa në rastin e dytë përveç kësaj çaktivizohet funksionaliteti që mund të përdoret për të nxjerrë informacion konfidencial nga bërthama.

ËshtĂ« e rĂ«ndĂ«sishme tĂ« theksohet se lockdown thjesht kufizon mundĂ«sitĂ« standarde tĂ« aksesit nĂ« bĂ«rthamĂ«, por nuk mbron nga modifikimet qĂ« rezultojnĂ« nga shfrytĂ«zimi i dobĂ«sive. PĂ«r tĂ« bllokuar futjen e ndryshimeve nĂ« bĂ«rthamĂ«n aktive nĂ« aplikimin e eksploitĂ«ve, projekti Openwall po zhvillohet modul i veçantĂ« LKRG (Linux Kernel Runtime Guard).

Burimi: opennet.ru

Bli njĂ« hosting tĂ« besueshĂ«m pĂ«r faqet me mbrojtje DDoS, VPS VDS serverĂ« đŸ”„ Bli njĂ« hosting tĂ« besueshĂ«m pĂ«r faqet me mbrojtje DDoS, VPS VDS serverĂ« | ProHoster