Abo
  • IT-Karriere:

Linux: Kernel-Lockdown-Patches kommen als Security-Modul

Nachdem Google-Entwickler Matthew Garrett die Patches für den Kernel-Lockdown wieder belebt hat, ist die Technik nun als Linux Security Module umgearbeitet worden.

Artikel veröffentlicht am ,
Die Lockdown-Patches für den Linux-Kernel sind bei Revision 34 angelangt.
Die Lockdown-Patches für den Linux-Kernel sind bei Revision 34 angelangt. (Bild: Andy Hay, flickr.com/CC-BY 2.0)

Der bei Google angestellte Linux-Entwickler Matthew Garrett hat die inzwischen 33. Revision der sogenannten Lockdown-Patches für den Linux-Kernel veröffentlicht. Mit kurz darauf veröffentlichten leichten Änderungen sind die Patches in der inzwischen 34. Runde der Diskussion angelangt, was durchaus "hochgezogenen Augenbrauen" hervorruft, wie es das Fachmagazin LWN.net beschreibt.

Stellenmarkt
  1. Hays AG, Fürth
  2. Süwag Energie AG, Frankfurt am Main

Garrett hatte die Arbeit an den Patches im Frühjahr dieses Jahres wieder aufgenommen, um die Diskussion daran wieder zu beleben und um die Patches mittelfristig auch in den Hauptzweig des Linux-Kernels einpflegen zu können. Im Jahr 2018 gab es trotz langer vorhergehender Diskussionen teils massive Kritik an dem Code, auch von Linux-Erfinder und -Chefentwickler Linus Torvalds.

Ziel der Patches ist es, dafür zu sorgen, dass der laufende Kernel von einem Angreifer nicht dauerhaft verändert werden kann. Dafür wird der Zugriff auf bestimmte Kernel-Schnittstellen schlicht verhindert. Das geht sogar so weit, dass damit der Root-Nutzer (UID-0) teilweise vom laufenden Kernel mit seinen Systemberechtigungen (Ring-0) getrennt werden soll. Solch eine Trennung existiert bisher nicht.

Für die meiste Kritik an dem Code sorgte zuvor die Verknüpfung dieser Funktionalität mit der Nutzung von UEFI Secure Boot. Die Lockdown-Patches waren ursprünglich als eine Art logische Erweiterung der Secure-Boot-Funktionalität gedacht. Garrett hat dies schon länger behoben.

Lockdown als LSM

In den aktuellen Patches zum Lockdown wird die Funktion als Linux-Security-Module (LSM) umgesetzt. Bekannte Nutzer dieser Technik sind etwa Selinux oder Apparmor, die von den meisten Linux-Distributionen eingesetzt werden.

Zu diesen Neuerungen gehört nun unter anderem ein Hook, mit dem LSMs Richtlinien festlegen können, ob der Kernelzustand zur Laufzeit verändert oder eingesehen werden kann. Darüber hinaus steht die ursprünglich geplante Funktion des Lockdown auch selbst als eigenes LSM bereit. Distributionen sollen damit einfach statische Richtlinien einsetzen können, die den Lockdown forcieren.

Ob und wann diese Patches nun endlich in den Hauptzweig eingepflegt werden, ist bisher nicht absehbar. Noch sind die Nachfragen und auch die Kritik zu den Patches jedoch sehr verhalten, was als positives Zeichen gedeutet werden könnte.



Anzeige
Spiele-Angebote
  1. (-70%) 14,99€
  2. 48,49€
  3. 2,99€
  4. (-77%) 11,50€

JouMxyzptlk 25. Jun 2019 / Themenstart

Artikel noch mal lesen. Danke.

Kommentieren


Folgen Sie uns
       


Pedelec HNF-Nicolai SD1 Urban ausprobiert

Wir sind das Pedelec eine Woche lang zur Probe gefahren und waren besonders vom Motor angetan.

Pedelec HNF-Nicolai SD1 Urban ausprobiert Video aufrufen
Super Mario Maker 2 & Co.: Vom Spieler zum Gamedesigner
Super Mario Maker 2 & Co.
Vom Spieler zum Gamedesigner

Dreams, Overwatch Workshop und Super Mario Maker 2: Editoren für Computerspiele werden immer mächtiger, inzwischen können auch Einsteiger komplexe Welten bauen. Ein Überblick.
Von Achim Fehrenbach

  1. Nintendo Akku von überarbeiteter Switch schafft bis zu 9 Stunden
  2. Hybridkonsole Nintendo überarbeitet offenbar Komponenten der Switch
  3. Handheld Nintendo stellt die Switch Lite für unterwegs vor

Radeon RX 5700 (XT) im Test: AMDs günstige Navi-Karten sind auch super
Radeon RX 5700 (XT) im Test
AMDs günstige Navi-Karten sind auch super

Die Radeon RX 5700 (XT) liefern nach einer Preissenkung vor dem Launch eine gute Leistung ab: Wer auf Hardware-Raytracing verzichten kann, erhält zwei empfehlenswerte Navi-Grafikkarten. Bei der Energie-Effizienz hapert es aber trotz moderner 7-nm-Technik immer noch etwas.
Ein Test von Marc Sauter

  1. Navi 14 Radeon RX 5600 (XT) könnte 1.536 Shader haben
  2. Radeon RX 5700 (XT) AMD senkt Navi-Preise noch vor Launch
  3. AMD Freier Navi-Treiber in Mesa eingepflegt

Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

    •  /