В ядре Linux 5.4 появится новая функция безопасности Lockdown, которая защитит Linux-машины от хакеров, ограничив некоторые возможности суперпользователя. Аналог Lockdown давно реализован во многих популярных дистрибутивах, однако на то, чтобы добиться ее включениея в «ванильное» ядро, у разработчиков ушли годы.





Новая функция безопасности

«Отец» Linux Линус Торвальдс (Linus Torvalds) одобрил внедрение новой функции безопасности в ядро Linux, которая называется Lockdown («блокировка»). Она появится в версии ядра 5.4 в виде модуля безопасности LSM (Linux Security Module) и значительно ограничит права суперпользователя, сообщает ZDNet.

В UNIX-подобных операционных системах, к котором относится и Linux, суперпользователем называют учетную запись с именем root, владелец которой имеет право на выполнение любых операций без каких-либо ограничений. Аналогом root в ОС Windows является учетная запись администратора.

Lockdown позволит более жестко разграничить процессы, запущенные в пространстве пользователя, и код ядра, запретив взаимодействовать с ним даже привилегированным аккаунтам.



Линус Торвальдс принял патчи, добавляющие функцию Lockdown в ядро Linux

Важно отметить, что в конфигурации ядра по умолчанию данная функция будет отключена. Ее использование сделают опциональным, потому что разработчики опасаются нарушения работы существующих систем.

Зачем это нужно

По мнению разработчиков, такой подход повысит уровень устойчивости операционных систем на базе Linux к кибератакам.

Сейчас злоумышленник, тем или иным способом заполучивший права суперпользователя в Linux-системе, может выполнить произвольный код на уровне ядра. Для этого ему нужно, к примеру, записать этот код непосредственно в память ядра через виртуальное устройство /dev/kmem или просто-напросто подменить запущенное ядро копией собственной сборки при помощи механизма kexec. В результате взломщик сможет получить доступ к конфиденциальным данным, хранящимся на уровне ядра, или обойти механизм безопасной загрузки UEFI Secureboot и скрыть факт своего присутствия в системе.

Активация модуля Lockdown заблокирует доступ пользовательских процессов к памяти ядра (через /dev/kmem, /dev/kmem и /dev/port), запретит выполнение системных вызовов, используемых для загрузки нового ядра (kexec_load, k_exec_file_load), ограничит возможности по манипуляции портами ввода/вывода, а также некоторые другие возможности.

Два режима блокировки

Новый модуль получит два режима блокировки: «целостность» (integrity) и «конфиденциальность» (confidentiality). Первый режим запрещает внесение изменений в работу запущенного ядра. Второй, помимо этого, не позволит считывать из него конфиденциальную информацию.

По словам Торвальдса, в случае необходимости разработчики смогут добавить собственные режимы работы системы защиты, однако это потребует применения отдельных патчей.

Краткая история вопроса

Работа над функцией Lockdown стартовала еще в начале 2010-х годов. Проект возглавил Мэтью Гаррет(Mathew Garrett), ныне инженер Google. Его идея заключалась в том, чтобы создать такой механизм обеспечения безопасности, который бы не позволял пользователям вмешиваться в работу ядра Linux.

Необходимость такого механизма отмечали многие эксперты сфере информационной безопасности того времени, однако в течение длительного срока соответствующие патчи не включались в ядро из-за разногласий среди его разработчиков. Одним из главных противников включения кода Lockdown, на котором настаивал Дэвид Хауэлл (David Howell), разработчик из Red Hat, выступил создатель и бессменный координатор разработки Linux Линус Торвальдс. Однако многие популярные дистрибутивы Linux, такие как Red Hat и Ubuntu, все равно самостоятельно внедрили функцию блокировки, отсутствующую в «ванильном» ядре.

К 2018 г. Торвальдс, обладающий непростым характером, сдался под давлением сообщества и перспектива включения патчей Lockdown в код ядра стала гораздо более осязаемой.

https://www.cnews.ru/news/top/2019-1...valds_zapretit