Kernel: Vorschau auf Linux 5.4 bringt viele Security-Funktionen
Mit der Veröffentlichung von Linux 5.4-rc1(öffnet im neuen Fenster) hat Chefentwickler Torvalds die Funktionen der kommenden Version festgelegt. Als "bemerkenswerte" Neuerung erwähnt Torvalds die Lockdown-Patches , die, wie von vielen Kernel-Entwicklern gewünscht, nun nicht mehr nur von UEFI-Secure-Boot abhängen. Die Lockdown-Patches stammen von Matthew Garrett, David Howells und weiteren Entwicklern.
Sie sollen "die Grenze zwischen PID 0 und dem Kernel stärken" und sperren, falls aktiviert, den Zugang zu verschiedenen Kernel-Features. Die Patches für Kernel 5.4 setzen den Lockdown als Linux-Security-Modul um. Damit lässt sich der Lockdown über ein Regelwerk, einen "locked_down" -LSM-Hook und den Kommandozeilenparameter "lockdown" steuern. Auf ein implizites Regelwerk im Code können die Entwickler so verzichten.
Ebenfalls zum Thema Sicherheit tragen Patches für die Integrity Measurement Architecture(öffnet im neuen Fenster) (IMA) von Mimi Zohar bei. Diese misst und bewertet nun auch angehängte Datei-Signaturen. Sowohl das Kexec-Kernelimage als auch das Initramfs dürfen solche angehängten Signaturen verwenden. Damit die Verifizierung im Rahmen des vorhandenen IMA-Frameworks gelingt, mussten die Entwickler den für angehängte Signaturen zuständigen Verifizierungscode mehrfach überarbeiten. Diese Arbeiten würden aber auch den Weg für andere Verifizierungsmethoden freimachen, etwa per "fs-verity" . Letzteres stammt von Google und liefert eine Authentifizierung einzelner Dateien auf Basis von Hashwerten. Google nutzt das System für Android.
Entropie von Anfang an
Eine für Linux 5.3 geplante Verbesserung am IO-Code für das Dateisystem Ext4 musste Torvalds kurz vor der Veröffentlichung zurücknehmen , weil der Kernel damit zur Bootzeit zu wenig Entropie erzeugte, was eine Userspace-Anwendungen viel zu lange blockiert und damit den eigentlichen Systemstart verzögert hatte.
Es folgte eine lange Diskussion der Kernel-Entwickler , wie genau mit dem Fehler umgegangen werden soll und ob das Verhalten des Kernels in diesem Punkt geändert werden sollte oder nicht. Einen möglichen Ausweg aus dieser Diskussion hat nun Torvalds selbst präsentiert(öffnet im neuen Fenster) .
Über den CPU-Cycle-Counter, den die meisten Architekturen mitbringen, soll Linux künftig schon zu Beginn von selbst ausreichend Entropie erzeugen, die der Userspace dann verwenden kann. Das soll die Probleme mit dem Blockieren der Anwendungen beheben. Auf Grund der vorhergehenden Diskussionen ist aber noch nicht ganz klar, ob die Funktion so tatsächlich bestehen bleibt. Dank der neuen Entropie-Quellen hat Torvalds nun aber auch die zuvor noch entfernte Verbesserung am IO-Code für Ext4 wieder eingepflegt.
Zusätzlich dazu ist der Debugging-Helfer um Ext4 ergänzt worden, was es dem Userspace ermöglicht, Informationen über den Status des Extent-Status-Cache zu erhalten. Ebenso haben die Entwickler ein Workaround für den Umgang mit Daten vor 1970 entfernt. Einerseits kümmern sich schon länger Kernel und E2fsck um das Problem. Andererseits datieren auch nur wenige Dateien so weit zurück. Das Dateisystem F2FS übernimmt derweil die Verbesserungen an der Groß- und Kleinschreibung, die Ext4 kürzlich eingeführt hat.
Verbesserungen für Devicemapper und Grafik
Änderungen bringt auch der Devicemapper mit: Dessen "verity" -Target überprüft die Integrität von Blockgeräten mit Hilfe kryptografischer Funktionen. Neu hinzugekommen ist hier die Option, die Integrität über die PKCS7-Signatur des Roothash zu testen. Auch "dm-clone" ist als neues Devicemapper-Target hinzugekommen.
Das erzeugt eine 1-zu-1-Kopie eines existierenden, nur lesbaren Quellgeräts als beschreibbares lokales Zielgerät: Ein virtuelles Blockgerät lässt dabei alle Daten sofort erscheinen und leitet Lese- und Schreibvorgänge weiter. Das soll es ermöglichen, entfernte, nur lesbare Blockgeräte über verschiedene Netzwerkspeicher-Protokolle lokal zu speichern und schnell auf die Daten zuzugreifen.
Wieder viel Grafik-Header von AMD
Laut der Release-Mitteilung von Torvalds machen AMD-Header-Dateien einmal mehr den Hauptteil des aktuellen Release aus. Das sei aber Natur der Sache und sollte von den meisten schlicht ignoriert werden.
Der AMDGPU-Kerneltreiber bringt nun erstmals Support für Navi 12 und 14 mit, allerdings gilt das noch als experimentell und muss deshalb über ein spezielles Flag aktiviert werden. Ersten Support gibt es zudem für AMDs APU mit dem Namen Dali. AMD benennt seine APUs nach bekannten Künstlern, Kernel 5.4 wird zudem Updates für Renoir mitbringen, einer weiteren APU. Neue Kernel-Treiber gibt es nun außerdem für die Arcturus-GPUs von AMD .
Die Intel-Grafiktreiberentwickler haben erste Unterstützung für die Gen12-GPUs des Herstellers beigesteuert. Diese wird auch als Xe bezeichnet und soll mit dem Ice-Lake-Nachfolger Tiger-Lake erscheinen. Mit Xe wird Intel wohl auch eigene dedizierte Grafikkarten anbieten. Der freie Nvidia-Treiber Nouveau erkennt nun, wenn PCIe-Kabel nicht angesteckt sind.
Der Code von Linux-Kernel 5.4-rc1 steht zum Testen auf Kernel.org(öffnet im neuen Fenster) bereit.