Після кількох років суперечок і обговорень Лінус Торвальдс все ж затвердив функцію lockdown для ядра Linux. Вона захищає ядро від втручань з боку будь-яких користувачів, навіть з root-доступом.
Розробники пропонували цей метод захисту ще три роки тому, однак Торвальдс довго відкидав цю ідею. Зрештою виробники дистрибутивів Linux (як от Red Hat) створили власні патчі. Порозуміння було досягнуто у 2018 році й тепер функція блокування з'явиться і в основному ядрі — у випуску Linux 5.4.
Вона постачатиметься як LSM (Linux Security Module) і буде вимкнена за замовчуванням. В режимі lockdown обмежується доступ до
- /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs;
- режиму kprobes, mmiotrace, tracefs;
- BPF, PCMCIA CIS (Card Information Structure);
- деяких інтерфейсів ACPI й MSR-регістрів CPU;
- використання DMA для PCI-пристроїв.
Окрім цього, блокуються виклики kexec_file і kexec_load й переходи в режим сну або очікування. Забороняються імпорт коду ACPI зі змінних EFI та маніпуляції з портами вводу. Детально ознайомитись з особливостями патчу можна за посиланням.
Ще немає коментарів