Торвальдс сообщил о функции «фиксации» ядра Linux
Линус Торвальдс подтвердил разработку новой функции безопасности в операционной системе Linux, которая получила название «lockdown».
Новая функция будет поставлена в виде LSM (Linux Security Module) и будет работать с семейством ядер Linux версии 5.4, однако она будет по умолчанию выключенной. Это сделано из-за того, что данная функция может нарушить работу существующей системы.
Функция Lockdown позволит усилить разделение между пользовательскими процессами и кодом ядра, не допуская даже root-аккаунт к взаимодействию с кодом ядра. Раньше система позволяла это делать.
Основатель Linux Линус Торвальдс
Будучи включённой, lockdown ограничит некоторый функционал ядра даже для root-пользователей, что затруднит скомпрометированным администраторским учётным записям доступ к остальной части ОС.
Торвальдс отметил: «При активации, различные части функционала ядра блокируются. К ним относятся ограничение доступа к функциям ядра, которые могут позволить исполнение произвольного кода через поддержку кода пользовательскими процессами. Блокирование процессов от чтения и записи памяти /dev/mem и /dev/kmem. Блокирование доступа к открытию /dev/port для предотвращения прямого доступа к портам. Усиление сигнатур модулей ядра и другие изменения».
Новая функция будет поставлена в виде LSM (Linux Security Module) и будет работать с семейством ядер Linux версии 5.4, однако она будет по умолчанию выключенной. Это сделано из-за того, что данная функция может нарушить работу существующей системы.
Функция Lockdown позволит усилить разделение между пользовательскими процессами и кодом ядра, не допуская даже root-аккаунт к взаимодействию с кодом ядра. Раньше система позволяла это делать.
Основатель Linux Линус Торвальдс
Будучи включённой, lockdown ограничит некоторый функционал ядра даже для root-пользователей, что затруднит скомпрометированным администраторским учётным записям доступ к остальной части ОС.
Торвальдс отметил: «При активации, различные части функционала ядра блокируются. К ним относятся ограничение доступа к функциям ядра, которые могут позволить исполнение произвольного кода через поддержку кода пользовательскими процессами. Блокирование процессов от чтения и записи памяти /dev/mem и /dev/kmem. Блокирование доступа к открытию /dev/port для предотвращения прямого доступа к портам. Усиление сигнатур модулей ядра и другие изменения».
Ещё новости по теме:
18:20