FERRAMENTAS LINUX: Em 2019, a maioria das distribuições Linux ainda não restringe o acesso ao Dmesg

sábado, 20 de abril de 2019

Em 2019, a maioria das distribuições Linux ainda não restringe o acesso ao Dmesg



Confira !!



oltar aos últimos dias do kernel do Linux 2.6 tem sido a opção CONFIG_DMESG_RESTRICT (ou para o número de anos passado, renomeado para CONFIG_SECURITY_DMESG_RESTRICT ) do Kconfig para restringir o acesso ao dmesg no nome da segurança e não permitir que usuários não privilegiados acessem este log do sistema. Embora tenha sido criado de tempos em tempos, as distribuições do Linux ainda permitem que qualquer usuário tenha acesso ao dmesg, mesmo que ele contenha informações que possam ajudar os mal-intencionados a explorar o sistema.

A principal motivação do CONFIG_SECURITY_DMESG_RESTRICT e um ajuste de sysctl associado também (dmesg_restrict) é para restringir o acesso ao dmesg para que usuários não privilegiados não possam ver o syslog para evitar possíveis exposições de endereços de memória do kernel entre outras informações potencialmente sensíveis que podem ser vazadas sobre o kernel Ajudar alguém tentando explorar o sistema. Mas mesmo com essas opções disponíveis por anos, a maioria das distribuições Linux deixa o dmesg aberto para qualquer usuário.

Ao longo dos anos, tentativas como o Ubuntu voltaram em 2011 para considerar a possibilidade de ativar tal funcionalidade, mas acabaram sendo rejeitadas devido a preocupações de quebrar alguns utilitários de espaço do usuário e a necessidade de atualizar a documentação sobre o acesso ao dmesg.

Lembrei-me da atual situação com o Clear Linux da Intel, agora de olho no recurso DMESG_RESTRICT em uma nova proposta. O Clear Linux potencialmente restringiria o acesso ao dmesg em nome da segurança por causa do vazamento de endereços de kernel.

O VirtualBox da Oracle foi destacado como um dos programas populares que acabam vazando endereços para o dmesg. Houve um relatório de bug do VirtualBox de três anos atrás destacando o problema de vazamento de informações de endereço do kernel, mas o problema foi marcado como "não corrigido" pelo upstream com base " Desculpe, isso NÃO é um problema de segurança e nem um problema Ter esses endereços não é um problema, pois são necessárias permissões especiais para utilizá-los. "

Dadas as crescentes preocupações e explorações de segurança, talvez 2019 seja finalmente o ano de ver mais distribuições do Linux bloqueando o dmesg?

Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário