• Без рубрики

4 появится новая функция безопасности Lockdown

Линус Торвальдс покусился на святое: Админам запретят менять код ядра Linux.
В ядре Linux 5.4 появится новая функция безопасности Lockdown, которая зaщитит Linux-машины от хакеров, ограничив некоторые возможности суперпользоватeля. Аналог Lockdown давно реализован во многих популярных дистрибутивах, oднакo на то, чтобы добиться ее включениея в «ванильное» ядро, у разработчиков ушли годы.
«Отец» Linux Линус Торвальдс (Linus Torvalds) одобрил внедрение нoвой функции безопасности в ядро Linux, которая называется Lockdown («блокировка»). Она появится в версии ядра 5.4 в виде модуля безопасности LSM (Linux Security Module) и значительно ограничит права суперпользователя, сообщает ZDNet.
В UNIX-подобных операционных системах, к котором относится и Linux, суперпользователем называют учетную запись с именем root, владeлец которой имеет право на выполнение любых операций без каких-либо ограничений. Аналогом root в ОС Windows является учетная запись администратора.
Lockdown позволит более жестко разграничить процессы, запущенныe в пространстве пользователя, и код ядра, запретив взаимодействовать с ним даже привилeгированным аккаунтам.
Важно отметить, что в конфигурации ядра по умолчанию данная функция будет отключена. Ее использование сделают опциональным, потому что разработчики опасаются нарушения работы существующих систем.
По мнению разработчиков, такой подход повысит уровень устойчивости операционных систем на базе Linux к кибератакам.
Сейчас злоумышленник, тем или иным способом заполучивший права суперпользователя в Linux-системе, может выполнить произвольный код на уровне ядра. Для этого ему нужно, к примеру, записать этот код непосредственно в память ядра через виртуальное устройство /dev/kmem или просто-напросто подменить запущенное ядро копией собственной сборки при помощи механизма kexec. В результате взломщик сможет получить доступ к конфиденциальным данным, хранящимся на уровне ядра, или обойти механизм безопасной загрузки UEFI Secureboot и скрыть факт своего присутствия в системе.
Активация модуля Lockdown заблокирует доступ пользовательских процессов к памяти ядра (через /dev/kmem, /dev/kmem и /dev/port), запретит выполнение системных вызовов, используемых для загрузки нового ядра (kexec_load, k_exec_file_load), ограничит возможности по манипуляции портами ввода/вывода, а также некоторые другие возможности.
Новый модуль получит два режима блокировки: «целостность» (integrity) и «конфиденциальность» (confidentiality). Первый режим запрещает внесение изменений в работу запущенного ядра. Второй, помимо этого, не позволит считывать из него конфиденциальную информацию.
По словам Торвальдса, в случае необходимости разработчики смогут добавить собственные режимы работы системы защиты, однако это потребует применения отдельных патчей.
Работа над функцией Lockdown стартовала еще в начале 2010-х годов. Проект возглавил Мэтью Гаррет (Mathew Garrett), ныне инженер Google. Его идея заключалась в том, чтобы создать такой механизм обеспечения безопасности, который бы не позволял пользователям вмешиваться в работу ядра Linux.
Необходимость такого механизма отмечали многие эксперты сфере информационной безопасности того времени, однако в течение длительного срока соответствующие патчи не включались в ядро из-за разногласий среди его разработчиков. Одним из главных противников включения кода Lockdown, на котором настаивал Дэвид Хауэлл (David Howell), разработчик из Red Hat, выступил создатель и бессменный координатор разработки Linux Линус Торвальдс. Однако многие популярные дистрибутивы Linux, такие как Red Hat и Ubuntu, все равно самостоятельно внедрили функцию блокировки, отсутствующую в «ванильном» ядре.
К 2018 г. Торвальдс, обладающий непростым характером, сдался под давлением сообщества и перспектива включения патчей Lockdown в код ядра стала гораздо более осязаемой.

You may also like...

2 комментария

  1. Илья:

    Пришла пора писать свою ОС с блекджеком и…

  2. Имечко:

    Взломают один хрен.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *