У Linux з’явиться функція блокування ядра lockdown

1 хв. читання

Після кількох років суперечок і обговорень Лінус Торвальдс все ж затвердив функцію lockdown для ядра Linux. Вона захищає ядро від втручань з боку будь-яких користувачів, навіть з root-доступом.

Розробники пропонували цей метод захисту ще три роки тому, однак Торвальдс довго відкидав цю ідею. Зрештою виробники дистрибутивів Linux (як от Red Hat) створили власні патчі. Порозуміння було досягнуто у 2018 році й тепер функція блокування з'явиться і в основному ядрі — у випуску Linux 5.4.

Вона постачатиметься як LSM (Linux Security Module) і буде вимкнена за замовчуванням. В режимі lockdown обмежується доступ до

  • /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs;
  • режиму kprobes, mmiotrace, tracefs;
  • BPF, PCMCIA CIS (Card Information Structure);
  • деяких інтерфейсів ACPI й MSR-регістрів CPU;
  • використання DMA для PCI-пристроїв.

Окрім цього, блокуються виклики kexec_file і kexec_load й переходи в режим сну або очікування. Забороняються імпорт коду ACPI зі змінних EFI та маніпуляції з портами вводу. Детально ознайомитись з особливостями патчу можна за посиланням.

Помітили помилку? Повідомте автору, для цього достатньо виділити текст з помилкою та натиснути Ctrl+Enter
Codeguida 1.6K
Приєднався: 1 рік тому
Коментарі (0)

    Ще немає коментарів

Щоб залишити коментар необхідно авторизуватися.

Вхід