Linus Torvalds λειτουργία lockdown στον Linux Kernel

Μετά από χρόνια συζητήσεων και επανεγγραφής κώδικα, ο ενέκρινε το Σάββατο ένα νέο χαρακτηριστικό ασφάλειας για τον πυρήνα του , το οποίο ονομάζεται “lockdown”.

Το νέο χαρακτηριστικό θα έρθει σαν LSM (Linux Security Module) στον που θα κυκλοφορήσει σύντομα και θα είναι απενεργοποιημένο  από προεπιλογή. Η χρήση του θα είναι προαιρετική λόγω του ότι υπάρχει κίνδυνος να ρίξει τα υπάρχοντα συστήματα.

lockdown

Η κύρια λειτουργία του νέου χαρακτηριστικού θα είναι να ενισχύσει το κενό ανάμεσα στις διεργασίες του user και στον κώδικα του πυρήνα, εμποδίζοντας ακόμη και τον λογαριασμό του root να αλληλεπιδράσει με τον κώδικα του Kernel, κάτι το οποίο μπορούσε να συμβεί μέχρι σήμερα.

Όταν θα είναι ενεργοποιημένη η λειτουργία “κλειδώματος” θα περιορίζει κάποια λειτουργικότητα του πυρήνα, ακόμη και για τον χρήστη root, καθιστώντας πιο δύσκολο για τους επιτιθέμενους που απέκτησαν δικαιώματα root να θέσουν σε κίνδυνο το υπόλοιπο .



“Το lockdown έχει σκοπό να επιτρέψει στους πυρήνες να κλειδώνονται νωρίς κατά την διαδικασία εκκίνησης”, δήλωσε ο Matthew Garrett, μηχανικός της Google που πρότεινε το χαρακτηριστικό αυτό χρόνια πριν.

  Πληρωμές 550 εκατομμυρίων για διαρροή δεδομένων

“Όταν είναι ενεργοποιημένο, διάφορες λειτουργικότητες του πυρήνα θα είναι περιορισμένες”, δήλωσε ο Linus Torvalds.

Αυτό περιλαμβάνει τον περιορισμό της πρόσβασης σε λειτουργίες του πυρήνα που μπορούν να επιτρέψουν την εκτέλεση αυθαίρετου κώδικα που παρέχεται από τις διεργασίες του user:

Διεργασίες δέσμευσης από την εγγραφή ή την ανάγνωση μνήμης /dev/mem και /dev/kmem memory.

Αποκλείει την πρόσβαση στο άνοιγμα του /dev/port.

Επιβολή kernel module signatures και πολλά άλλα που αναφέρονται εδώ.

Το νέο module θα υποστηρίζει δύο τρόπους κλειδώματος, που στην περιγραφή αναφέρονται σαν “integrity” και “confidentiality” (ακεραιότητα και εμπιστευτικότητα).

Ο κάθε τρόπος είναι μοναδικός και θα περιορίζει την πρόσβαση σε διαφορετικές λειτουργίες του πυρήνα.

“Εάν έχει ρυθμιστεί στο ακεραιότητα, οι δυνατότητες του πυρήνα που επιτρέπουν στον user να τροποποιήσει τον τρέχοντα πυρήνα θα είναι απενεργοποιημένες”, ανέφερε ο Torvalds.

“Εάν ρυθμιστεί στο εμπιστευτικότητα, οι δυνατότητες του πυρήνα που επιτρέπουν στον user να εξαγάγει εμπιστευτικές πληροφορίες από τον πυρήνα θα είναι επίσης απενεργοποιημένες”.

Οι συζητήσεις για τη λειτουργία κλειδώματος (lockdown) του πυρήνα ξεκίνησαν στις αρχές της δεκαετίας του 2010 από τον μηχανικό της Google, Matthew Garrett.

Η ιδέα πίσω από αυτό το χαρακτηριστικό ήταν να δημιουργηθεί ένας μηχανισμός ασφαλείας που θα εμπόδιζε τους χρήστες να έχουν αυξημένα δικαιώματα (ακόμη και τον λογαριασμό “root”) ούτως ώστε να μην μπορούν να παραβιάζουν τον κώδικα του πυρήνα.

Τότε, αν και τα συστήματα Linux χρησιμοποιούσαν ασφαλείς μηχανισμούς εκκίνησης (secure boot), υπήρχαν  τρόποι με τους οποίους ένα κακόβουλο λογισμικό θα μπορούσε να καταχραστεί τα drivers, τους root λογαριασμούς και τους λογαριασμούς χρηστών με ειδικά αυξημένα προνόμια για να παραβιάσουν τον κώδικα του πυρήνα.

  Telegram, Signal και Dark Web για βοήθεια στο Ιράν

Πολλοί ειδικοί της ασφάλειας ζητούσαν τα τελευταία χρόνια το κλείδωμα του πυρήνα, αλλά ο Torvalds, δεν συμφωνούσε ειδικά τις πρώτες μέρες.

Ως αποτέλεσμα, πολλές διανομές του Linux, όπως το Red Hat, ανέπτυξαν δικά τους που περιείχαν το χαρακτηριστικό κλειδώματος. Φέτος όμως θα δούμε το νέο χαρακτηριστικό σε όλες τις διανομές!

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


6  +  2  =