Linux 内核将引入安全锁定功能

xplanet
?xplanet
发布于 2019年10月01日
收藏 13

经过多年以来的无数次审查、讨论和代码重写,Linus Torvalds 通过了一项 Linux 内核新的安全功能,它被称为“锁定”(lockdown)。

这项新功能将作为 LSM(Linux Security Module,Linux 安全模块)包含在即将发布的 Linux kernel 5.4 中。由于存在破坏现有系统的风险,因此该功能是可选的,并非默认开启。

这一新的锁定功能主要是为了防止 root 帐户篡改内核代码,从而在用户态进程和代码之间划清界限。启用该功能后,即便是 root 帐户也无法访问某些内核功能,从而保护操作系统免受受损的 root 帐户影响。

Linus Torvalds 表示,启用锁定模块后,各种内核功能都会受到限制。其中包括对内核功能的访问限制;对 /dev/mem 的读写操作的阻止;对 CPU MSR 访问的限制;以及防止系统进入睡眠状态等等。

锁定功能支持两种不同模式,可用于激活不同级别的限制。“完整性”(integrity)模式将禁止用户修改正在运行的内核功能。另一种“机密性”(confidentiality)模式则会禁止用户从内核中提取机密信息。

内核锁定功能的研究始于?2010 年代初期,由现在的 Google 工程师 Matthew Garrett 牵头。该功能背后的想法是创建一种安全机制,以防止具有特权的用户(甚至是“root”帐户)篡改内核的代码。

在那个时候,即使 Linux 系统采用了安全启动机制,恶意软件仍然可以通过滥用具有特殊提升特权的驱动程序和 root 帐户等来篡改内核代码。多年以来,许多安全专家一直在要求 Linux 内核支持一种更有效的方式来限制 root 帐户,并提高内核安全性。

最初提出该功能时,Linus Torvalds 本人是最大的反对者之一,他对此提出了不少批评。结果,许多 Linux 发行版开发了自己的 Linux 内核补丁,这些补丁在主线内核之上都添加了锁定功能。直到 2018 年,支持派和反对派才逐渐达成中间立场,关于锁定功能的工作也终于在今年取得了新的进展。

新功能获得批准后,也在 Linux 和网络安全社区受到了广泛欢迎。详情可查看公告:

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=aefcf2f4b58155d27340ba5f9ddbe9513da8286d

消息来源:ZDNet

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创365bet手机版中文社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:Linux 内核将引入安全锁定功能
加载中

精彩评论

hach
hach
什么时候能完善下内核级的异步IO API?难道只能一直epoll?
kppom
kppom
Linus:真香~!
365bet手机版中文中国首席罗纳尔多
365bet手机版中文中国首席罗纳尔多
您好,请问linux内核原来的有安全机制的吗?怎么设计的?

最新评论(6

kppom
kppom
Linus:真香~!
hach
hach
什么时候能完善下内核级的异步IO API?难道只能一直epoll?
燃烧的时光
燃烧的时光
呵呵
c
crystalsis
Linux那伙人是肯定看不上IOCP那种类型的
calvinwilliams
calvinwilliams
呼声高了自然会马上优化的
365bet手机版中文中国首席罗纳尔多
365bet手机版中文中国首席罗纳尔多
您好,请问linux内核原来的有安全机制的吗?怎么设计的?
返回顶部
顶部