A Lockdown, a Linux kern új elfogadása a kernelhez való root hozzáférés korlátozása érdekében

A hír nemrégiben közölte ezt Linus Torvalds egy új komponenst fogadott el, amelyet a "Linux 5.4" kern jövőbeli verziója tartalmaz. ennek az új komponensnek van a neve "Lockdown", amelyet David Howells javasolt (aki korábban már implementálta ezt az összetevőt a Red Hat Kernelben) és Matthew Garrett (Google fejlesztő).

A lezárás fő feladata, hogy korlátozza a root felhasználó hozzáférését a rendszer kerneljéhez és ez a funkcionalitás az LSM modulba került opcionálisan betöltve (Linux Security Module), amely gátat állít az UID 0 és a kernel között, bizonyos alacsony szintű funkciók korlátozása.

Ez lehetővé teszi, hogy a zárolás funkció házirend-alapú legyen, ahelyett, hogy a mechanizmuson belül implicit politikát kódolna, tehát a Linux biztonsági modulban található zár egyszerű megvalósítási módot kínál egyszerű házirenddel általános használatra szánják. Ez a házirend részletességet biztosít a kernel parancssorán keresztül.

A maghoz való hozzáférésnek ez a védelme annak a ténynek köszönhető, hogy:

Ha a támadónak a támadás eredményeként sikerül végrehajtania a root jogosultságokkal rendelkező kódot, akkor a kódot kernel szinten is végrehajthatja, például kicserélheti a kernt kexec-re, vagy olvashat és / vagy írhat memóriát a / dev / kmem segítségével.

Ennek a tevékenységnek a legkézenfekvőbb következménye az UEFI Secure Boot megkerülése vagy a kern szintjén tárolt bizalmas adatok helyreállítása lehet.

kezdetben A root korlátozási funkciókat az ellenőrzött rendszerindítás megerősítésével összefüggésben fejlesztették ki és a disztribúciók sokáig harmadik féltől származó javításokat használtak az UEFI biztonságos rendszerindítási megkerülésének blokkolásához.

Ugyanakkor, ilyen korlátozásokat nézeteltérések miatt nem vettek fel a mag magösszetételébe megvalósításában és a meglévő rendszerek megzavarásától való félelem. A "lockdown" modul magában foglalja a disztribúciókban már használt javításokat, amelyeket külön alrendszer formájában dolgoztunk fel, amely nem kapcsolódik az UEFI Secure Boot rendszerhez.

Engedélyezéskor a kernel különféle funkciói korlátozva vannak. Tehát az alacsony szintű hardverre vagy kernel-hozzáférésre támaszkodó alkalmazások ennek eredményeként leállhatnak, ezért ezt nem szabad engedélyezni előzetes megfelelő értékelés nélkül. Linus Torvalds megjegyzi.

Zárolási módban korlátozza a / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, debugfs, debugfs kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (kártyainformációk biztonságos), néhány ACPI hozzáférést és a CPU MSR regiszterei, a kexec_file és a kexec_load hívások blokkolva vannak, alvó üzemmód tilos, a DMA használata PCI eszközökhöz korlátozott, az ACPI kód ​​importálása az EFI változókból tilos, manipuláció a portok bemenetével / kimenetével, beleértve a megszakítás számának és bemenetének megváltoztatását / soros port kimeneti portja nem megengedett.

Alapértelmezés szerint a kizáró modul nem aktív; akkor jön létre, amikor a SECURITY_LOCKDOWN_LSM opció meg van adva a kconfig fájlban, és a "lockdown =" kernelparaméter, a "/ sys / kernel / security / lockdown" vezérlőfájl vagy a LOCK_DOWN_KERNEL_FORCE_ * fordítási opciók aktiválják, amelyek a "integritás" és "titoktartás".

Az első esetben zárolva vannak azok a funkciók, amelyek lehetővé teszik a kernel módosítását a felhasználói térből, a második esetben pedig ezen kívül le van tiltva a bizalmas információknak a kernelből történő kinyerésére használható funkció.

Fontos megjegyezni, hogy a zárolás csak korlátozza a rendszeres kernelelérési képességeket, de nem véd a sérülékenység kihasználása következtében bekövetkező módosítások ellen. A működő kernel változásainak blokkolásához, amikor az Openwall projekt kihasználja, külön LKRG (Linux Kernel Runtime Guard) modult fejlesztenek.

A lezárás funkció számos alrendszerrel kapcsolatban jelentős tervezési áttekintéseket és megjegyzéseket tett. Ez a kód már néhány hete a Linux-next programban van, útközben néhány javítást alkalmaztak.