Abo
  • IT-Karriere:

Linux: Kernel-Lockdown-Patches kommen als Security-Modul

Nachdem Google-Entwickler Matthew Garrett die Patches für den Kernel-Lockdown wieder belebt hat, ist die Technik nun als Linux Security Module umgearbeitet worden.

Artikel veröffentlicht am ,
Die Lockdown-Patches für den Linux-Kernel sind bei Revision 34 angelangt.
Die Lockdown-Patches für den Linux-Kernel sind bei Revision 34 angelangt. (Bild: Andy Hay, flickr.com/CC-BY 2.0)

Der bei Google angestellte Linux-Entwickler Matthew Garrett hat die inzwischen 33. Revision der sogenannten Lockdown-Patches für den Linux-Kernel veröffentlicht. Mit kurz darauf veröffentlichten leichten Änderungen sind die Patches in der inzwischen 34. Runde der Diskussion angelangt, was durchaus "hochgezogenen Augenbrauen" hervorruft, wie es das Fachmagazin LWN.net beschreibt.

Stellenmarkt
  1. Hochland SE, Heimenkirch, Schongau
  2. transmed Transport GmbH, Regensburg

Garrett hatte die Arbeit an den Patches im Frühjahr dieses Jahres wieder aufgenommen, um die Diskussion daran wieder zu beleben und um die Patches mittelfristig auch in den Hauptzweig des Linux-Kernels einpflegen zu können. Im Jahr 2018 gab es trotz langer vorhergehender Diskussionen teils massive Kritik an dem Code, auch von Linux-Erfinder und -Chefentwickler Linus Torvalds.

Ziel der Patches ist es, dafür zu sorgen, dass der laufende Kernel von einem Angreifer nicht dauerhaft verändert werden kann. Dafür wird der Zugriff auf bestimmte Kernel-Schnittstellen schlicht verhindert. Das geht sogar so weit, dass damit der Root-Nutzer (UID-0) teilweise vom laufenden Kernel mit seinen Systemberechtigungen (Ring-0) getrennt werden soll. Solch eine Trennung existiert bisher nicht.

Für die meiste Kritik an dem Code sorgte zuvor die Verknüpfung dieser Funktionalität mit der Nutzung von UEFI Secure Boot. Die Lockdown-Patches waren ursprünglich als eine Art logische Erweiterung der Secure-Boot-Funktionalität gedacht. Garrett hat dies schon länger behoben.

Lockdown als LSM

In den aktuellen Patches zum Lockdown wird die Funktion als Linux-Security-Module (LSM) umgesetzt. Bekannte Nutzer dieser Technik sind etwa Selinux oder Apparmor, die von den meisten Linux-Distributionen eingesetzt werden.

Zu diesen Neuerungen gehört nun unter anderem ein Hook, mit dem LSMs Richtlinien festlegen können, ob der Kernelzustand zur Laufzeit verändert oder eingesehen werden kann. Darüber hinaus steht die ursprünglich geplante Funktion des Lockdown auch selbst als eigenes LSM bereit. Distributionen sollen damit einfach statische Richtlinien einsetzen können, die den Lockdown forcieren.

Ob und wann diese Patches nun endlich in den Hauptzweig eingepflegt werden, ist bisher nicht absehbar. Noch sind die Nachfragen und auch die Kritik zu den Patches jedoch sehr verhalten, was als positives Zeichen gedeutet werden könnte.



Anzeige
Hardware-Angebote
  1. 49,70€

JouMxyzptlk 25. Jun 2019

Artikel noch mal lesen. Danke.


Folgen Sie uns
       


Mercedes EQC Probe gefahren

Wie schlägt sich der neue EQC von Mercedes im Vergleich mit anderen Elektroautos? Golem.de hat das SUV in der Umgebung von Stuttgart Probe gefahren.

Mercedes EQC Probe gefahren Video aufrufen
E-Auto: Byton zeigt die Produktionsversion des M-Byte
E-Auto
Byton zeigt die Produktionsversion des M-Byte

IAA 2019 Die Premiere von Byton in Frankfurt ist überraschend. Da der M-Byte im kommenden Jahr in China startet, ist die Vorstellung des produktionsreifen Elektroautos in Deutschland etwas Besonderes.
Ein Bericht von Dirk Kunde


    Party like it's 1999: Die 510 letzten Tage von Sega
    Party like it's 1999
    Die 510 letzten Tage von Sega

    Golem retro_ Am 9.9.1999 kam in den USA mit der Sega Dreamcast die letzte Spielkonsole der 90er Jahre auf den Markt. Es sollte auch die letzte Spielkonsole von Sega werden. Aber das wusste zu diesem Zeitpunkt noch niemand.
    Von Martin Wolf


      Deutsche Bahn: Die Bauzeit verzögert sich um wenige Jahre ...
      Deutsche Bahn
      Die Bauzeit verzögert sich um wenige Jahre ...

      Dass der Bau neuer Bahnstrecken Jahrzehnte dauert, soll sich ändern. Aber jetzt wird die Klage einer Bürgerinitiative verhandelt, die alles noch verschlimmern könnte.
      Eine Reportage von Caspar Schwietering

      1. DB Cargo Wagon Intelligence Die Hälfte der Güterwagen hat Funkmodule mit Sensorik
      2. Schienenverkehr Die Bahn hat wieder eine Vision
      3. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein

        •  /