Lockdown – mai multă siguranță începând cu Linux 5.4

Linux Security Mode

Privită inițial cu reticență de către însuși Linus Torvalds, acesta a decis să adauge funcția de securitate „Lockdown”, în kernelul Linux 5.4. Decizia a venit după o lungă perioadă de analiză, ținând cont de faptul că ea a fost propusă încă din 2010 de Matthew Garrett, inginer la Google. Funcția va fi opțională și va fi livrată cu denumirea „Linux Security Mode”. Ea va reprezenta o schimbare majoră a modului în care utilizatorul interacționează cu kernelul Linux.

Ce este Lockdown?

Potrivit propunătorului său, modulul Lockdown va permite kernelului să fie închis foarte devreme, încă din timpul procesului de bootare. Se urmărește astfel să se prevină modificarea codului din kernel inclusiv de către utilizatorul „root”. Odată cu Linux 5.4, această opțiune va veni dezactivată în mod predefinit. Odată cu activarea sa, utilizatorii „root” nu vor mai avea acces la anumite funcții ale kernelului.

Fără hibernare

Printre restricțiile incluse de Lockdown, va fi prevenită hibernarea sistemului, blocând operațiile de scriere în /dev/mem, inclusiv pentru contul „root”.

Doi parametri

Pentru a activa diferite nivele de restricții, Lockdown va veni cu doi parametri diferiți. Astfel, „lockdown=integrity” va restricționa funcțiile care permit utilizatorului să modifice kernelul în timp ce acesta este activ, iar „lockdown=confidentiality” nu va permite utilizatorilor să extragă informații confidențiale din kernel.

Fără probleme

În vederea adăugării acestei noi funcții în kernel, Linus Torvalds a organizat numeroase dezbateri, review-uri și a rescris mult cod pentru a se asigura că nu va fi afectat kernelul și că este implementată în maniera în care a fost gândită.