Confira !!
O desenvolvedor do Google, Matthew Garrett, recentemente assumiu o trabalho nos antigos patches de kernel "LOCKDOWN" com o objetivo de impedir que a imagem do kernel em execução fosse modificada e fortalecer o limite entre o UID 0 e o kernel. Esses patches, que existem há anos e são enviados por algumas distribuições do Linux, não chegaram à recente janela de mesclagem do kernel Linux 5.1, mas agora um pedido de pull foi emitido para tentar enviá-lo com o kernel Linux 5.2.
Essas correções não impõem o comportamento restrito / bloqueado por padrão, mas geralmente são emparelhadas com o UEFI SecureBoot. Quando o modo LOCKDOWN está ativo, não há suporte para gravação em / dev / memO acesso PCI BAR e MSR é restrito, não permitindo parâmetros do módulo do kernel que definem configurações de hardware, bloqueando o KProbes, restringindo o DebugFS e até mesmo desabilitando o suporte de hibernação do sistema, juntamente com outros meios de restringir o estado do sistema. Obviamente, este modo é realmente destinado apenas a ambientes sensíveis à segurança e a maioria dos usuários convencionais não estará interessada em um kernel que esteja bloqueado até esse ponto, especialmente entusiastas / desenvolvedores que podem encontrar funcionalidades quebradas de outra forma.
Em um kernel com patches - ou potencialmente com o kernel Linux 5.2, se a solicitação pull finalmente for respeitada - o comportamento também pode ser ativado passando "lockdown" como uma opção de linha de comando do kernel.
Esta última solicitação de pull, que atualmente está em um lote de 27 patches, está atualmente na lista de discussão do kernel enquanto espera para ver se será enfileirada para o kernel Linux 5.2.
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário