Linus Torvalds kalebet dina sékrési kernel Linux 5.4 anu bakal datang nyaéta sakumpulan patch "", David Howells (Red Hat) sareng Matthew Garrett (, jalan di Google) pikeun ngawatesan aksés pamaké root kana kernel. Fungsionalitas anu aya hubunganana sareng Lockdown kalebet dina modul LSM anu dimuat sacara opsional (), anu nempatkeun halangan antara UID 0 sareng kernel, ngabatesan fungsionalitas tingkat rendah anu tangtu.
Upami panyerang ngahontal palaksanaan kode kalayan hak akar, anjeunna tiasa ngaéksekusi kode na dina tingkat kernel, contona, ku ngagentos kernel nganggo kexec atanapi maca / nyerat mémori via /dev/kmem. Konsékuansi paling atra tina aktivitas misalna bisa jadi UEFI Secure Boot atanapi nyandak data sénsitip anu disimpen dina tingkat kernel.
Mimitina, fungsi pangwatesan akar dikembangkeun dina kontéks pikeun nguatkeun panyalindungan boot anu diverifikasi, sareng distribusi parantos nganggo patch pihak katilu pikeun meungpeuk bypass tina UEFI Secure Boot pikeun sababaraha waktos. Dina waktos anu sami, larangan sapertos kitu henteu kalebet dina komposisi utama kernel kusabab dina palaksanaan maranéhanana jeung sieun gangguan kana sistem aya. Modul "lockdown" nyerep patch anu parantos dianggo dina distribusi, anu didesain ulang dina bentuk subsistem anu misah anu henteu kabeungkeut kana UEFI Secure Boot.
Mode Lockdown ngabatesan aksés kana / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, mode debug kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Struktur Émbaran Kartu), sababaraha panganteur ACPI sareng CPU Registers MSR, telepon kexec_file sareng kexec_load diblokir, mode sare dilarang, panggunaan DMA pikeun alat PCI diwatesan, impor kode ACPI tina variabel EFI dilarang,
Manipulasi kalawan I / O palabuhan teu diwenangkeun, kaasup ngarobah jumlah ngaganggu jeung I / O port pikeun port serial.
Sacara standar, modul lockdown teu aktip, diwangun nalika pilihan SECURITY_LOCKDOWN_LSM dieusian dina kconfig tur diaktipkeun ngaliwatan parameter kernel "lockdown =", file kontrol "/ sys / kernel / kaamanan / Lockdown" atawa pilihan assembly. , anu tiasa nyandak nilai "integritas" sareng "karusiahan". Dina kasus anu pertama, fitur anu ngamungkinkeun parobihan dilakukeun kana kernel anu ngajalankeun tina rohangan pangguna diblokir, sareng dina kasus anu kadua, fungsionalitas anu tiasa dianggo pikeun nimba inpormasi sénsitip tina kernel ogé ditumpurkeun.
Penting pikeun dicatet yén lockdown ngan ukur ngabatesan aksés standar kana kernel, tapi henteu ngajagaan tina modifikasi salaku akibat tina eksploitasi kerentanan. Pikeun meungpeuk parobahan kernel ngajalankeun nalika exploits dipaké ku proyék Openwall modul misah (Linux Kernel Runtime Guard).
sumber: opennet.ru