Linux voorziet de nieuwe versie Linux kernel 5.4 van een Linux Security Module (LSM) genaamd Lockdown. Deze beveiligingsfunctie voorkomt dat gebruikers met hoge rechten knoeien met kernel-functionaliteiten.
De nieuwe LSM-functie is standaard uitgeschakeld en kan optioneel worden gebruikt. De restrictie geldt ook voor root-gebruikers. Linus Torvalds, hoofdontwikkelaar van de Linuxkernel, gaf afgelopen zaterdag groen licht voor de Lockdown-functie, aldus ZDnet.
Kloof versterken
Lockdown moet de kloof tussen userland-processen en kernelcode versterken, door te voorkomen dat zelfs het root-account (hoogste rechten) interactie heeft met kernelcode. Tot nu toe behoorde dat per ontwerp tot een mogelijkheid. Als de nieuwe functie is ingeschakeld, zal deze een aantal kernel-functionaliteiten beperken. Hierdoor wordt het voor gecompromitteerde root-accounts moeilijker om de rest van het besturingssysteem te compromitteren.
Zo wordt ook de toegang beperkt tot kernel-functies, die willekeurige uitvoering van code mogelijk maken via code die wordt geleverd door userland-processen. Bovendien worden processen van schrijven of lezen van / dev / mem en / dev / kmem geheugen geblokkeerd naast ook de toegang tot opening / dev / port om zo onbewerkte poorttoegang te voorkomen. Verder is er onder meer ook sprake van handhaving van kernelmodule-handtekeningen.
Twee vergrendelingsopties
Lockdown ondersteunt een tweetal vergrendelingsopties: ‘integrity’ (integriteit) en ‘confidentiality’ (vertrouwelijkheid). Beide opties zijn uniek te noemen en beperken toegang tot verschillende kernelfunctionaliteiten. “Indien ingesteld op integriteit, zijn kernel-functies, waarmee userland de actieve kernel kan wijzigen, uitgeschakeld. Indien ingesteld op vertrouwelijkheid, zijn kernel-functies, waarmee userland vertrouwelijke informatie uit de kernel kunnen extraheren, ook uitgeschakeld”, zegt Torvalds. Hij laat weten dat waar nodig een extra lockdown-modus kan worden toegevoegd, waar een externe patch bovenop de lock-LSM voor nodig is.
Positief omarmd
Matthew Garrett, een nu-Google-ingenieur, ontwikkelde het idee voor een kernel-lockdown-functie ergens begin 2010. Veel beveiligingsexperts hebben door de jaren heen gevraagd of de Linux-kernel op een krachtigere manier kon ondersteunen in het beperken van het root-account en het verbeteren van de kernel-beveiliging. Het nieuws dat een kernel lockdown-module nu eindelijk is goedgekeurd, wordt dan ook positief omarmd in de Linux- en cyberbeveiligingsgemeenschappen.
Lees ook: Microsoft wil eigen exFAT-bestandssysteem in Linux-kernel introduceren