Abo
  • IT-Karriere:

Linux: Kernel-Lockdown-Patches kommen als Security-Modul

Nachdem Google-Entwickler Matthew Garrett die Patches für den Kernel-Lockdown wieder belebt hat, ist die Technik nun als Linux Security Module umgearbeitet worden.

Artikel veröffentlicht am ,
Die Lockdown-Patches für den Linux-Kernel sind bei Revision 34 angelangt.
Die Lockdown-Patches für den Linux-Kernel sind bei Revision 34 angelangt. (Bild: Andy Hay, flickr.com/CC-BY 2.0)

Der bei Google angestellte Linux-Entwickler Matthew Garrett hat die inzwischen 33. Revision der sogenannten Lockdown-Patches für den Linux-Kernel veröffentlicht. Mit kurz darauf veröffentlichten leichten Änderungen sind die Patches in der inzwischen 34. Runde der Diskussion angelangt, was durchaus "hochgezogenen Augenbrauen" hervorruft, wie es das Fachmagazin LWN.net beschreibt.

Stellenmarkt
  1. Dataport, verschiedene Standorte
  2. E.I.S. Electronics GmbH, Bremerhaven

Garrett hatte die Arbeit an den Patches im Frühjahr dieses Jahres wieder aufgenommen, um die Diskussion daran wieder zu beleben und um die Patches mittelfristig auch in den Hauptzweig des Linux-Kernels einpflegen zu können. Im Jahr 2018 gab es trotz langer vorhergehender Diskussionen teils massive Kritik an dem Code, auch von Linux-Erfinder und -Chefentwickler Linus Torvalds.

Ziel der Patches ist es, dafür zu sorgen, dass der laufende Kernel von einem Angreifer nicht dauerhaft verändert werden kann. Dafür wird der Zugriff auf bestimmte Kernel-Schnittstellen schlicht verhindert. Das geht sogar so weit, dass damit der Root-Nutzer (UID-0) teilweise vom laufenden Kernel mit seinen Systemberechtigungen (Ring-0) getrennt werden soll. Solch eine Trennung existiert bisher nicht.

Für die meiste Kritik an dem Code sorgte zuvor die Verknüpfung dieser Funktionalität mit der Nutzung von UEFI Secure Boot. Die Lockdown-Patches waren ursprünglich als eine Art logische Erweiterung der Secure-Boot-Funktionalität gedacht. Garrett hat dies schon länger behoben.

Lockdown als LSM

In den aktuellen Patches zum Lockdown wird die Funktion als Linux-Security-Module (LSM) umgesetzt. Bekannte Nutzer dieser Technik sind etwa Selinux oder Apparmor, die von den meisten Linux-Distributionen eingesetzt werden.

Zu diesen Neuerungen gehört nun unter anderem ein Hook, mit dem LSMs Richtlinien festlegen können, ob der Kernelzustand zur Laufzeit verändert oder eingesehen werden kann. Darüber hinaus steht die ursprünglich geplante Funktion des Lockdown auch selbst als eigenes LSM bereit. Distributionen sollen damit einfach statische Richtlinien einsetzen können, die den Lockdown forcieren.

Ob und wann diese Patches nun endlich in den Hauptzweig eingepflegt werden, ist bisher nicht absehbar. Noch sind die Nachfragen und auch die Kritik zu den Patches jedoch sehr verhalten, was als positives Zeichen gedeutet werden könnte.



Anzeige
Hardware-Angebote
  1. 274,00€
  2. 71,90€ + Versand
  3. täglich neue Deals bei Alternate.de

JouMxyzptlk 25. Jun 2019 / Themenstart

Artikel noch mal lesen. Danke.

Kommentieren


Folgen Sie uns
       


Asus Prime Utopia angesehen

Asus zeigt auf der Computex 2019 eine Ideenstudie für ein neues High-End-Mainboard.

Asus Prime Utopia angesehen Video aufrufen
Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

Kickstarter: Scheitern in aller Öffentlichkeit
Kickstarter
Scheitern in aller Öffentlichkeit

Kickstarter ermöglicht es kleinen Indie-Teams, die Entwicklung ihres Spiels zu finanzieren. Doch Geld allein ist nicht genug, um alle Probleme der Spieleentwicklung zu lösen. Und was, wenn das Geld ausgeht?
Ein Bericht von Daniel Ziegener

  1. Killerwhale Games Verdacht auf Betrug beim Kickstarter-Erfolgsspiel Raw
  2. The Farm 51 Chernobylite braucht Geld für akkurates Atomkraftwerk
  3. E-Pad Neues Android-Tablet mit E-Paper-Display und Stift

LEDs: Schlimmes Flimmern
LEDs
Schlimmes Flimmern

LED-Licht zu Hause oder im Auto leuchtet nur selten völlig konstant. Je nach Frequenz und Intensität kann das Flimmern der Leuchtmittel problematisch sein, für manche Menschen sogar gesundheitsschädlich.
Von Wolfgang Messer

  1. Wissenschaft Schadet LED-Licht unseren Augen?
  2. Straßenbeleuchtung Detroit kämpft mit LED-Ausfällen und der Hersteller schweigt
  3. ULED Ubiquitis Netzwerkleuchten bieten Wechselstromversorgung

    •  /