Linux krijgt ‘lockdown’-functie voor de kernel

Linus Torvalds heeft afgelopen weekend een nieuwe beveiligingsfunctie voor de Linux-kernel goedgekeurd. De functie, genaamd ‘lockdown’, moet de grens tussen processen van gebruikers en code in de kernel versterken, door te voorkomen dat zelfs het root-account kan praten met kernel-code.

De nieuwe functie wordt verscheept als een Linux Security Module (LSM) in de Linux kernel 5.4 branch, die binnenkort moet verschijnen, zo meldt ZDNet. De functie is in die versie standaard uitgeschakeld. Gebruik is dus optioneel, wat te maken heeft met het risico dat bestaande systemen vastlopen door de functie.

Functies beperken

De nieuwe ‘lockdown’-functie beperkt bepaalde functies van de kernel, zelfs voor de root-gebruiker. Daardoor is het lastiger voor gehackte accounts om de rest van het besturingssysteem binnen te dringen.

“De lockdown-module is bedoeld voor alle kernels om vroeg in het opstartproces afgesloten te worden”, vertelt Matthew Garrett. Hij is een Google-engineer die de functie een paar jaar geleden voorstelde. Linus Torvalds, de maker van Linux, gaf zaterdag zijn goedkeuring voor de functie, waardoor deze nu echt verscheept gaat worden.

Lockdown beperkt onder meer functies die arbitrary code execution toestaan via code uit processen van de gebruiker. Ook kunnen processen geen code schrijven of lezen in het /dev/mem/ en /dev/kmem/ geheugen, en wordt toegang tot /dev/port geblokkeerd om raw port-toegang te voorkomen.

Twee modules

De nieuwe module ondersteunt twee modi voor lockdown, namelijk ‘integrity’ en ‘confidentiality’. Beide modi zijn uniek en beperken toegang tot verschillende kernel-functies.

Met integrity worden functies in de kernel die gebruikers toestaan om de draaiende kernel aan te passen, uitgeschakeld. Met confidentiality worden ook kernel-functies waarmee gebruikers geheime informatie kunnen opvragen uitgeschakeld.

Als het nodig is, kunnen er ook extra lockdown-modi worden toegevoegd aan de functie. Hier is wel een externe patch voor nodig, die bovenop de lockdown LSM wordt geïnstalleerd.