Kernel de Linux 5.4 para obtener la funcionalidad de bloqueo

ADespués de años de revisión y deliberación, el creador y desarrollador principal de Linux, Linus Torvalds, aprobó una nueva característica de seguridad para el kernel de Linux, conocida como "bloqueo".

Torvalds dijo:

“Cuando está habilitado, varias partes de la funcionalidad del kernel están restringidas. Esto incluye restringir el acceso a las funciones del kernel que pueden permitir la ejecución de código arbitrario a través del código proporcionado por los procesos de la tierra del usuario; bloquear procesos para que no escriban o lean / dev / mem y / dev / kmem; bloquear el acceso a la apertura / dev / port para evitar el acceso al puerto sin procesar; hacer cumplir las firmas de los módulos del kernel; y muchos más ".

Esta funcionalidad debe incluirse en las ramas del kernel 5.4 de Linux que se lanzarán próximamente y debe enviarse como un LSM (Módulo de seguridad de Linux). El uso es opcional ya que existe el riesgo de que la nueva característica pueda romper los sistemas existentes.

La función de bloqueo refuerza la división entre los procesos de la tierra del usuario y el código del kernel. La función logra esto al evitar que todas las cuentas, incluida la cuenta raíz, interactúen con el código del kernel. Es algo nunca antes hecho, al menos por diseño, hasta ahora.

Esta última funcionalidad es una buena noticia para los usuarios conscientes de la seguridad y ofrece una seguridad adicional muy solicitada para aplicaciones como UEFI SecureBoot. La función es opcional y limita los bits que el kernel puede tocar.

El bloqueo no impone restricciones de forma predeterminada. La funcionalidad de soporte de bloqueo se activa con el bloqueo = parámetro del kernel. Configuración bloqueo = integridad bloquea las características del kernel que permiten que el espacio de usuario modifique el kernel en ejecución. Además, el establecimiento bloqueo = confidencialidad bloquea el espacio de usuario para que no extraiga "información confidencial" del núcleo en ejecución. los Kconfig SECURITY_LOCKDOWN_LSM habilita el módulo de seguridad de Linux, mientras que la SECURITY_LOCKDOWN_LSM_EARLY proporciona la capacidad de forzar los modos de bloqueo de integridad / confidencialidad de forma permanente.

Las limitaciones impuestas por la característica recientemente aprobada incluyen el bloqueo de los parámetros del módulo del kernel que manipulan la configuración del hardware, la hibernación y la prevención de soporte. Además, el bloqueo de escrituras en / dev / mem (incluso cuando es root), las restricciones de acceso de los MSR de la CPU y una serie de otras medidas de seguridad.

Otras características importantes para la rama de Linux 5.4 incluyen:

  • DM-Clone como un nuevo hombre de dispositivos de bloques de replicación remota
  • Compatibilidad inicial con el sistema de archivos exFAT de Microsoft
  • Compatibilidad con F2FS que no distingue entre mayúsculas y minúsculas
  • Soporte para varios nuevos objetivos de GPU AMD RadCon
  • Un kernel corrige UMIP para ayudar a varias aplicaciones de Windows en Wine.
  • Una gran cantidad de soporte de hardware nuevo

Espere el lanzamiento oficial del kernel de Linux 5.4 como estable a fines de noviembre o principios de diciembre.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir