快捷搜索:

您的位置:澳门新葡4473网站 > 澳门新葡4473网站 > Linux 5.4内核将引入安全锁定功能 - Linux,操作系统

Linux 5.4内核将引入安全锁定功能 - Linux,操作系统

发布时间:2020-03-12 15:59编辑:澳门新葡4473网站浏览(124)

    经过多年以来的无数次审查、讨论和代码重写,Linus Torvalds 通过了一项 Linux 内核新的安全功能,它被称为“锁定”(lockdown)。

    IT之家10月1日消息在很长时间的讨论、审查和代码重写后,Linus Torvalds最终决定在Linux内核5.4中加入内核“锁定”安全功能。该功能将是可选的,会在即将发布的Linux 5.4中作为Linux安全模块提供给开发者。该功能将带来用户空间与Linux内核交互方式的重大变化。

    这项新功能将作为 LSM(Linux Security Module,Linux 安全模块)包含在即将发布的 Linux kernel 5.4 中。由于存在破坏现有系统的风险,因此该功能是可选的,并非默认开启。

    澳门新葡4473网站,Linux中的内核锁定功能是什么?该功能由谷歌工程师Matthew Garrett在2010年提出,主要想法是“允许内核在启动进程的早期被锁定。”这么做,主要是为了防止root帐户篡改内核代码,从而在用户态进程和代码之间划清界限。

    这一新的锁定功能主要是为了防止 root 帐户篡改内核代码,从而在用户态进程和代码之间划清界限。启用该功能后,即便是 root 帐户也无法访问某些内核功能,从而保护操作系统免受受损的 root 帐户影响。

    默认情况下,内核锁定的安全功能在出厂时将被禁用。但启用该功能后,即使root帐户也无法访问某些内核功能,从而保护操作系统免受恶意root帐户的影响。

    Linus Torvalds 表示,启用锁定模块后,各种内核功能都会受到限制。其中包括对内核功能的访问限制;对 /dev/mem 的读写操作的阻止;对 CPU MSR 访问的限制;以及防止系统进入睡眠状态等等。

    “锁定”功能中做出的一些限制措施包括防止系统进入休眠状态,阻止对/ dev / mem的写操作,阻止CPU MSR访问等。

    锁定功能支持两种不同模式,可用于激活不同级别的限制。“完整性”(integrity)模式将禁止用户修改正在运行的内核功能。另一种“机密性”(confidentiality)模式则会禁止用户从内核中提取机密信息。

    值得一提的是,Matthew Garrett最初提出该功能时,Linus Torvalds就是对此功能的批评者之一。后来Matthew Garrett组织了许多讨论,复习并添加了大量代码重写,以确保该功能不会影响内核,并按预期的方式实现。

    澳门新葡4473网站 1

    内核锁定功能的研究始于 2010 年代初期,由现在的 Google 工程师 Matthew Garrett 牵头。该功能背后的想法是创建一种安全机制,以防止具有特权的用户(甚至是“root”帐户)篡改内核的代码。

    在那个时候,即使 Linux 系统采用了安全启动机制,恶意软件仍然可以通过滥用具有特殊提升特权的驱动程序和 root 帐户等来篡改内核代码。多年以来,许多安全专家一直在要求 Linux 内核支持一种更有效的方式来限制 root 帐户,并提高内核安全性。

    最初提出该功能时,Linus Torvalds 本人是最大的反对者之一,他对此提出了不少批评。结果,许多 Linux 发行版开发了自己的 Linux 内核补丁,这些补丁在主线内核之上都添加了锁定功能。直到 2018 年,支持派和反对派才逐渐达成中间立场,关于锁定功能的工作也终于在今年取得了新的进展。

    新功能获得批准后,也在 Linux 和网络安全社区受到了广泛欢迎。详情可查看公告:

    消息来源:ZDNet

    本文由澳门新葡4473网站发布于澳门新葡4473网站,转载请注明出处:Linux 5.4内核将引入安全锁定功能 - Linux,操作系统

    关键词: