Abo
  • IT-Karriere:

Kernel: Vorschau auf Linux 5.4 bringt viele Security-Funktionen

Die kommende Linux-Kernel-Version 5.4 wird neben den Lockdown-Patches auch eine bessere Integritätsprüfung des Kernels bekommen. Linux-Chef-Torvalds kümmert sich selbst um mehr Entropie und die Community sorgt wie üblich für eine Vielzahl Treiber-Updates.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Mit Linux 5.4-rc1 stehen die Funktionen der kommenden Version fest.
Mit Linux 5.4-rc1 stehen die Funktionen der kommenden Version fest. (Bild: Brian Gratwicke, flickr.com/CC-BY 2.0)

Mit der Veröffentlichung von Linux 5.4-rc1 hat Chefentwickler Torvalds die Funktionen der kommenden Version festgelegt. Als "bemerkenswerte" Neuerung erwähnt Torvalds die Lockdown-Patches, die, wie von vielen Kernel-Entwicklern gewünscht, nun nicht mehr nur von UEFI-Secure-Boot abhängen. Die Lockdown-Patches stammen von Matthew Garrett, David Howells und weiteren Entwicklern.

Inhalt:
  1. Kernel: Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  2. Verbesserungen für Devicemapper und Grafik

Sie sollen "die Grenze zwischen PID 0 und dem Kernel stärken" und sperren, falls aktiviert, den Zugang zu verschiedenen Kernel-Features. Die Patches für Kernel 5.4 setzen den Lockdown als Linux-Security-Modul um. Damit lässt sich der Lockdown über ein Regelwerk, einen "locked_down"-LSM-Hook und den Kommandozeilenparameter "lockdown" steuern. Auf ein implizites Regelwerk im Code können die Entwickler so verzichten.

Ebenfalls zum Thema Sicherheit tragen Patches für die Integrity Measurement Architecture (IMA) von Mimi Zohar bei. Diese misst und bewertet nun auch angehängte Datei-Signaturen. Sowohl das Kexec-Kernelimage als auch das Initramfs dürfen solche angehängten Signaturen verwenden. Damit die Verifizierung im Rahmen des vorhandenen IMA-Frameworks gelingt, mussten die Entwickler den für angehängte Signaturen zuständigen Verifizierungscode mehrfach überarbeiten. Diese Arbeiten würden aber auch den Weg für andere Verifizierungsmethoden freimachen, etwa per "fs-verity". Letzteres stammt von Google und liefert eine Authentifizierung einzelner Dateien auf Basis von Hashwerten. Google nutzt das System für Android.

Entropie von Anfang an

Eine für Linux 5.3 geplante Verbesserung am IO-Code für das Dateisystem Ext4 musste Torvalds kurz vor der Veröffentlichung zurücknehmen, weil der Kernel damit zur Bootzeit zu wenig Entropie erzeugte, was eine Userspace-Anwendungen viel zu lange blockiert und damit den eigentlichen Systemstart verzögert hatte.

Stellenmarkt
  1. PROSIS GmbH, Berlin, Gaimersheim, Wolfsburg, Leipzig, Braunschweig
  2. Rodenstock GmbH, München

Es folgte eine lange Diskussion der Kernel-Entwickler, wie genau mit dem Fehler umgegangen werden soll und ob das Verhalten des Kernels in diesem Punkt geändert werden sollte oder nicht. Einen möglichen Ausweg aus dieser Diskussion hat nun Torvalds selbst präsentiert.

Über den CPU-Cycle-Counter, den die meisten Architekturen mitbringen, soll Linux künftig schon zu Beginn von selbst ausreichend Entropie erzeugen, die der Userspace dann verwenden kann. Das soll die Probleme mit dem Blockieren der Anwendungen beheben. Auf Grund der vorhergehenden Diskussionen ist aber noch nicht ganz klar, ob die Funktion so tatsächlich bestehen bleibt. Dank der neuen Entropie-Quellen hat Torvalds nun aber auch die zuvor noch entfernte Verbesserung am IO-Code für Ext4 wieder eingepflegt.

Zusätzlich dazu ist der Debugging-Helfer um Ext4 ergänzt worden, was es dem Userspace ermöglicht, Informationen über den Status des Extent-Status-Cache zu erhalten. Ebenso haben die Entwickler ein Workaround für den Umgang mit Daten vor 1970 entfernt. Einerseits kümmern sich schon länger Kernel und E2fsck um das Problem. Andererseits datieren auch nur wenige Dateien so weit zurück. Das Dateisystem F2FS übernimmt derweil die Verbesserungen an der Groß- und Kleinschreibung, die Ext4 kürzlich eingeführt hat.

Verbesserungen für Devicemapper und Grafik 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (aktuell u. a. X Rocker Shadow 2.0 Floor Rocker Gaming Stuhl in verschiedenen Farben je 64,90€)
  2. 337,00€
  3. (u. a. HP 34f Curved Monitor für 389,00€, Acer 32 Zoll Curved Monitor für 222,00€, Seasonic...
  4. 58,90€

Folgen Sie uns
       


Philips Hue Play HDMI Sync Box angesehen

Die Philips Hue Play HDMI Sync Box ist ein HDMI-Splitter, über den Hue Sync verwendet werden kann. Im ersten Kurztest funktioniert das neue Gerät gut.

Philips Hue Play HDMI Sync Box angesehen Video aufrufen
WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Minecraft Earth angespielt: Die Invasion der Klötzchen
Minecraft Earth angespielt
Die Invasion der Klötzchen

Kämpfe mit Skeletten im Stadtpark, Begegnungen mit Schweinchen im Einkaufszentrum: Golem.de hat Minecraft Earth ausprobiert. Trotz Sammelaspekten hat das AR-Spiel ein ganz anderes Konzept als Pokémon Go - aber spannend ist es ebenfalls.
Von Peter Steinlechner

  1. Microsoft Minecraft hat 112 Millionen Spieler im Monat
  2. Machine Learning Facebooks KI-Assistent hilft beim Bau von Minecraft-Werken
  3. Nvidia Minecraft bekommt Raytracing statt Super-Duper-Grafik

    •  /