Depois de brincando com a ideia por um longo tempo, Linus Torvalds finalmente decidiu acrescentar recurso de segurança “lockdown” em Linux Kernel 5.4. O recurso será opcional e será enviado como Linux Security Module no próximo Linux 5.4. O recurso trará uma grande mudança na maneira como o espaço do usuário interage com o kernel do Linux.
O que é o recurso de bloqueio no Linux?
O recurso foi proposto pelo engenheiro do Google, Matthew Garrett, em 2010. Ele disse: "O módulo de bloqueio visa permitir que os kernels sejam bloqueados no início do processo de inicialização".
O recurso de bloqueio no Linux tem como objetivo principal impedir que a conta raiz adultere o código do kernel, traçando assim uma linha entre os processos da terra do usuário e o código.
O recurso de segurança será desativado por padrão quando for enviado. Ao ativá-lo, mesmo as contas raiz não poderão acessar determinadas funcionalidades do kernel, protegendo o sistema operacional de ser afetado por uma conta raiz comprometida.
Algumas das restrições incluídas no recurso de bloqueio são a prevenção da hibernação do sistema, o bloqueio da operação de gravação em / dev / mem, mesmo para contas raiz, o acesso à CPU MSR etc.
Existem dois parâmetros diferentes no recurso Lockdown para ativar diferentes níveis de restrições: lockdown = integridade restringe os recursos do kernel que permitem que a terra do usuário modifique os kernels em execução; lockdown = confidencialidade restringe os usuários de extrair “informações confidenciais” do kernel.
Linus Torvalds foi um dos críticos do longa quando foi proposto inicialmente. Ele organizou muitas discussões, revisões e adicionou muitas reescritas de código para garantir que o recurso não afete o kernel e seja implementado da maneira a que se destina.
