Kiedy mówimy o Linuksie, pierwszą rzeczą, która przychodzi na myśl dla wielu, jest terminal, ale także bezpieczeństwo. Chociaż nie ma idealnego systemu operacyjnego, sposób, w jaki systemy operacyjne pingwina obsługują uprawnienia, utrudnia wykorzystanie luk w zabezpieczeniach. Ale wszystko może się poprawić, łącznie z bezpieczeństwem, a Linux 5.4 będzie zawierał nowy moduł bezpieczeństwa, który nazwali Lockdown.
Linus Torvalds zatwierdził tę funkcję w zeszłą sobotę, po kilku latach debaty nad nią. Moduł pojawi się w Linuksie 5.4, wersja jądra, które teraz otrzymuje żądania funkcji, ale będzie domyślnie wyłączone. Będzie to LSM (Linux Securiry Module lub Linux Security Module) i podjęto decyzję, aby nie aktywować go domyślnie, ponieważ zmiany mogą spowodować nieprawidłowe działanie systemu operacyjnego.
Blokowanie będzie domyślnie wyłączone w Linuksie 5.4
La Główna funkcja Lockdown wzmocni podział między procesami użytkownika a kodem jądra uniemożliwiając nawet kontowi administratora interakcję z kodem jądra Linux, coś, co można zrobić do tej pory. Nowy LSM ograniczy niektóre funkcje jądra, uniemożliwiając kontom roota naruszanie reszty systemu operacyjnego. Między innymi, Lockdown ograniczy dostęp do funkcji jądra, które pozwalają na dowolne wykonanie kodu dostarczanego przez procesy użytkownika, zablokuje procesom możliwość odczytu / zapisu w pamięci / dev / mem y / dev / kmem i dostęp do open / dev / port.
Będą dostępne dwa tryby blokady: „integralność” i „poufność”, każdy z nich jest unikalny i ogranicza dostęp do różnych funkcji jądra:
Jeśli jest ustawiony na integralność, funkcje jądra, które pozwalają użytkownikowi modyfikować jądro, są wyłączone. Jeśli jest ustawiony na poufne, funkcje jądra, które pozwalają obszarowi użytkownika na wyodrębnianie informacji z jądra, są również wyłączone.
To ważny krok na drodze do uczynienia Linuksa jeszcze bezpieczniejszym, o którym dyskutujemy od 2010 roku. Prawdopodobnie stan na kwiecień 2020 r Publikujmy mniej wiadomości związanych z błędami bezpieczeństwa naprawionymi przez Canonical dzięki funkcji, która będzie dostępna od grudnia.