Linux dobiva zaključavanje kernela

Osnivač Linuxa Linus Torvalds je nakon godina i godina izvještaja te nanovo pisanih kodova napokon u subotu 28. rujna odobrio mogućnost nove sigurnosne postavke za Linux, a ime joj je “lockdown“ ili po hrvatski “zaključavanje“.

Nova će mogućnost stići zajedno s LSM (Linux Security Module) u skorašnjoj 5.4 verziji operativnog sustava, no bit će ugašena u osnovnim postavkama pa će je korisnik morati omogućiti sam. Tako nešto je Linux implementirao iz razloga što bi postojeće sustave novitet mogao poremetiti pa oni koji "lockdown" misle koristiti, vjerojatno bi trebali biti upoznati sa svim opasnostima koje on donosi.

Ali, dok su opasnosti samo dio početne verzije, treba se baviti prednostima koje sigurnosna postavka iščekivana cijeli niz godina donosi. Primarna funkcija je ojačati vezu između "userland" procesa i koda kernela, i to na način da se onemogući interakcija root računa s kernel kodom. Sve do "locdowna" se ta interakcija omogućavala.

Dakle, kad je omogućen, "lockdown" će uvesti neke restrikcije, kao što je funckionalnost kernela, čak i za root korisnika, čime se otežava da kompromitirani root računi kompromitiraju ostatak operativnog sustava.

Ukupno, "lockdown" uključuje restriktivan pristup za mogućnosti kernela koje omogućavaju egzekuciju koda kroz kod "dostavljen" od strane "userland" procesa; blokiranje procesa za "pisanje" ili čitanja" /dev/mem i /dev/kmem memorije; blokiranje pristupa za otvaranje /dev/port kako bi se preventirao "sirovi" port pristup; prisiljavanje "kernel module" potpisa... Detaljnije o svemu što "lockdown" donosi može se pročitati OVDJE.

Torvalds je također u detalje objasnio što donosi "lockdown", a toliko mu se odupirao zbog tehničkih razloga. Nije bilo jednostavno izvedivo napraviti mogućnost koja bi blokirala pristup kodu onim korisnicim kojima pristup njemu inače imaju. Sad je to izvedeno i upravo to je glavna odrednica "lockdowna". Naravno, namijenjena je istinskim stručnjacima za Linux...