FERRAMENTAS LINUX: O Kernel Linux 5.4 recebe o suporte do LOCKDOWN para as restrições de segurança de opção por hardware / kernel

domingo, 29 de setembro de 2019

O Kernel Linux 5.4 recebe o suporte do LOCKDOWN para as restrições de segurança de opção por hardware / kernel



Confira !!



Enquanto Linus Torvalds ainda estava indeciso sobre a possibilidade de usar os patches do kernel "LOCKDOWN", revisados ​​há muito tempo, e queria analisá-los patch a patch, após esse longo exame, ele decidiu realmente implementar essa funcionalidade restrita de adesão para o Kernel Linux 5.4

Os patches LOCKDOWN do Linux foram encontrados em vários kernels de distribuição por anos e, durante o processo principal, passaram por dezenas de rodadas de revisão para solucionar vários problemas e garantir que todas as bases fossem cobertas para reforçar a interação do kernel com o hardware do sistema, quando desejado, bem como garantindo que a imagem do kernel em execução não possa ser manipulada.

Quando ativado, o modo Linux LOCKDOWN impede que o sistema hiberne como um exemplo de restrição voltada para o usuário, além de bloquear gravações em / dev / mem, mesmo como raiz, bloqueando os parâmetros do módulo do kernel que tocam os bits de hardware, restringindo o acesso à CPU MSR e uma variedade de outras restrições em nome do reforço da segurança. A maioria dos casos de uso da funcionalidade Linux Lockdown é para emparelhar com UEFI SecureBoot ou outros ambientes sensíveis à segurança.

A funcionalidade de bloqueio agora mesclada não impõe restrições por padrão. O suporte pode ser ativado com o parâmetro lockdown = kernel. Definir lockdown = integridade bloqueará os recursos do kernel que permitem que o espaço do usuário modifique o kernel em execução. Configuraçãolockdown = a confidencialidade impedirá que o espaço do usuário extraia "informações confidenciais" do kernel em execução, além de outras restrições sobre o modo de integridade. Todos os bits são controlados através da opção Kconfig SECURITY_LOCKDOWN_LSM para ativar este módulo de segurança Linux. Via SECURITY_LOCKDOWN_LSM_EARLY, também é possível forçar permanentemente os modos de bloqueio de integridade / confidencialidade, se desejado.

O suporte chegou a tempo para o lançamento do Kernel Linux 5.4-rc1 esperado no domingo, que marcará o fechamento da janela de mesclagem de recursos para este último lançamento estável do kernel de 2019.

Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário