En ny funktion i Linux låser kärnan

Nästa uppdatering av Linuxkärnan kommer även att innehålla en säkerhetsfunktion som kommer låsa delar av kärnan för användarprocesser, inklusive processer som ägs av root-användaren.

Det är från version 5.4 av Linuxkärnan som en funktion introduceras som sätter restriktioner för hur användarprocesser kan använda funktioner i kärnan. Den nya LSM-modulen (Linux Security Module) ska göra att vissa funktioner i kärnan är låsta även för root-användaren som annars äger fulla rättigheter i hela systemet, skriver ZDNet.

Det är säkerhetsmodul som är efterfrågad då det är en viktig sak att kunna skydda systemet mot att root kontot blir infekterat och sedan utnyttjas av angripare för att kunna manipulera systemet och därigenom kunna ställa till ordentlig oreda.

I grundläget kommer modulen att vara avstängd och måste slås på manuellt, detta för att vissa applikationer kan sluta fungera och därför måste införandet av den nya säkerhetsfunktionen inledas med nogranna tester.

Idén med en ny säkerhetsfunktion kommer ursprungligen från Matthew Garrett på Google redan 2010 men då gav Linus Torvalds motstånd. Först 2018 kom man fram till en kompromiss utvecklingen av säkerhetsfunktionen har tagit fart sen dess. Torvalds stödjer den nya funktionen.

Säkerhetsfunktionen kommer i två varianter: integrity och confidentiality.
Integrity innebär att alla kärnfunktioner som kan låta en användarprocess modifiera kärnan stängs av, och confidentiality innebär att även funktioner som låter användarprocesser läsa av känslig information från kärnan stängs av.

Som exempel på spärrar som kan bli är att användarprocesser hindras från att läsa/skriva i /dev/mem eller /dev/kmem, blockering av /dev/port och att framtvinga signering av kärnprocesser. Alla uppgifter går att läsa här.

Då det är en funktion som efterfrågats ett tag och det dessutom tagit tid för gruppen av utvecklar med Torvalds i spetsen att starta projektet så finns det redan ett fler tal liknande funktioner i många distributioner redan, men nu kommer alltså en mer allomfattande funktion som en kärnmodul.

Bli först med att kommentera

Lämna ett svar