Когда мы говорим о Linux, первое, что приходит на ум, - это терминал, а также безопасность. Хотя идеальной операционной системы не существует, то, как операционные системы пингвина обрабатывают разрешения, затрудняет использование уязвимостей. Но все может улучшиться, включая безопасность, и Linux 5.4 будет включать новый модуль безопасности, который они назвали Lockdown.
Линус Торвальдс одобрил эту функцию в прошлую субботу, после того как она обсуждалась в течение нескольких лет. Модуль появится в Linux 5.4, версия ядра, которая сейчас получает запросы функций, но по умолчанию она будет отключена. Это будет LSM (модуль Linux Securiry или модуль безопасности Linux), и было принято решение не активировать его по умолчанию, поскольку изменения могут привести к сбоям в работе операционной системы.
Блокировка будет отключена по умолчанию в Linux 5.4.
La Основная функция Блокировка усилит разделение между пользовательскими процессами и кодом ядра. предотвращение взаимодействия с кодом ядра даже учетной записи администратора Linux, что-то, что пока можно сделать. Новый LSM ограничит некоторые функции ядра, не позволяя учетным записям root компрометировать остальную часть операционной системы. Среди прочего, Lockdown ограничивает доступ к функциям ядра, которые позволяют произвольное выполнение кода, предоставляемого процессами пользовательского уровня, блокирует процессы от возможности чтения / записи в память. / dev / mem y / dev / kmem и доступ к открытому / dev / port.
Будет два режима блокировки: «целостность» и «конфиденциальность», каждый из которых уникален и ограничивает доступ к различным функциям ядра:
Если установлено значение целостности, функции ядра, позволяющие пользователю изменять ядро, отключены. Если он установлен как конфиденциальный, функции ядра, которые позволяют пользователю извлекать информацию из ядра, также отключаются.
Это важный шаг на пути к еще большей безопасности Linux, который обсуждается с 2010 года. по состоянию на апрель 2020 г. Давайте публиковать меньше новостей, связанных с ошибками безопасности, исправленными Canonical, благодаря функции, которая будет доступна с декабря.
