Lockdown, nadchodząca funkcja Linuksa 5.4, która zwiększy nasze bezpieczeństwo

Lockdown

Kiedy mówimy o Linuksie, pierwszą rzeczą, która przychodzi na myśl dla wielu, jest terminal, ale także bezpieczeństwo. Chociaż nie ma idealnego systemu operacyjnego, sposób, w jaki systemy operacyjne pingwina obsługują uprawnienia, utrudnia wykorzystanie luk w zabezpieczeniach. Ale wszystko może się poprawić, łącznie z bezpieczeństwem, a Linux 5.4 będzie zawierał nowy moduł bezpieczeństwa, który nazwali Lockdown.

Linus Torvalds zatwierdził tę funkcję w zeszłą sobotę, po kilku latach debaty nad nią. Moduł pojawi się w Linuksie 5.4, wersja jądra, które teraz otrzymuje żądania funkcji, ale będzie domyślnie wyłączone. Będzie to LSM (Linux Securiry Module lub Linux Security Module) i podjęto decyzję, aby nie aktywować go domyślnie, ponieważ zmiany mogą spowodować nieprawidłowe działanie systemu operacyjnego.

Blokowanie będzie domyślnie wyłączone w Linuksie 5.4

La Główna funkcja Lockdown wzmocni podział między procesami użytkownika a kodem jądra uniemożliwiając nawet kontowi administratora interakcję z kodem jądra Linux, coś, co można zrobić do tej pory. Nowy LSM ograniczy niektóre funkcje jądra, uniemożliwiając kontom roota naruszanie reszty systemu operacyjnego. Między innymi, Lockdown ograniczy dostęp do funkcji jądra, które pozwalają na dowolne wykonanie kodu dostarczanego przez procesy użytkownika, zablokuje procesom możliwość odczytu / zapisu w pamięci / dev / mem y / dev / kmem i dostęp do open / dev / port.

Będą dostępne dwa tryby blokady: „integralność” i „poufność”, każdy z nich jest unikalny i ogranicza dostęp do różnych funkcji jądra:

Jeśli jest ustawiony na integralność, funkcje jądra, które pozwalają użytkownikowi modyfikować jądro, są wyłączone. Jeśli jest ustawiony na poufne, funkcje jądra, które pozwalają obszarowi użytkownika na wyodrębnianie informacji z jądra, są również wyłączone.

To ważny krok na drodze do uczynienia Linuksa jeszcze bezpieczniejszym, o którym dyskutujemy od 2010 roku. Prawdopodobnie stan na kwiecień 2020 r Publikujmy mniej wiadomości związanych z błędami bezpieczeństwa naprawionymi przez Canonical dzięki funkcji, która będzie dostępna od grudnia.

SWAG
Podobne artykuł:
SWAPGS Attack, „nowe widmo”, które wpływa na procesory Intela

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.