Linux: Kernel-Lockdown soll Ruhezustand unterstützen

Der Ruhezustand des Systems auf der Festplatte (Hibernation) soll mit Hilfe eines TPMs endlich auch im Kernel-Lockdown genutzt werden können.

Artikel veröffentlicht am ,
Der Kernel-Lockdown in Linux soll den Root-Nutzer vom Rest des Kernels ausschließen.
Der Kernel-Lockdown in Linux soll den Root-Nutzer vom Rest des Kernels ausschließen. (Bild: Pixabay)

Der sogenannte Kernel-Lockdown, also die Trennung von Kernel-Rechten und dem Root-Account, soll künftig auch den Hibernation-Ruhezustand unterstützen. Das schreibt der für die Lockdown-Patches maßgeblich verantwortliche Entwickler Matthew Garrett in seinem Blog. Die dafür notwendigen Patches hat Garrett zur Aufnahme in Linux eingereicht. Wie Garrett schreibt, blockiere der Kernel-Lockdown eigentlich nur einige wenige Nischenfunktionen des Kernels und habe deshalb auf Nutzer wenig direkte Auswirkungen. Was bisher aber eben fehle, sei die Unterstützung für den Hibernation-Ruhezustand, der offenbar vielfach genutzt werde, wie es in der Ankündigung von Garrett heißt.

Stellenmarkt
  1. SAP Analytics Cloud Berater (m/w/x)
    über duerenhoff GmbH, Mannheim
  2. Server- / Virtualisierungsadministrato- r/-in (m/w/d)
    Kreisausschuss Wetteraukreis, Friedberg
Detailsuche

Anders als beim Suspend-Ruhezustand, in dem der Systemzustand im Arbeitsspeicher abgelegt wird, wird beim Hibernation-Ruhezustand der Systemzustand auf die Festplatte geschrieben, was ein dauerhaftes Abschalten der Stromversorgung des genutzten Rechners ermöglicht. Linux nutzt dafür die Swap-Partition, in die ein Systemabbild geschrieben wird, mit einem speziellen Header, der den Kernel darüber informiert. Beim nächsten Start erkennt der Kernel den Header und stellt das Abbild wieder her.

Bisher gibt es aber keine Möglichkeit festzustellen, dass das so gestartete Abbild tatsächlich von dem eigenen alten und abgesicherten Kernel stammt. So könnten Angreifer mit Root-Rechten das korrekte Schreiben eines Abbilds theoretisch unterbinden, ein eigenes Abbild hinterlegen und so bei einem Neustart ihren eigenen Code in den sogenannten Kernel-Space einschleusen. Diese Veränderung von Kernel-Code durch Root-Nutzer soll der Kernel-Lockdown aber eigentlich verhindern, weshalb die Hibernation-Unterstützung bisher auch fehlt.

TPM zur Lockdown-Unterstützung

Eine einfache Festplattenverschlüsselung helfe hier aber nicht weiter, da das Angriffsszenario ja eben Angreifer mit Root-Rechten sind, die die Inhalte der Swap-Partition eh schon sehen können. Es fehle eine Verifikation dafür, dass das Hibernation-Abbild tatsächlich vom Kernel geschrieben wurde, nicht vom Root-Account, so Garrett.

Golem Karrierewelt
  1. Implementing Cisco Enterprise Wireless Networks (ENWLSI): virtueller Fünf-Tage-Workshop
    10.-14.10.2022, virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
Weitere IT-Trainings

In seinen Patches greift Garrett dabei auf ein bestimmtes Register im TPM des Rechners zurück, das nur vom Kernel beschrieben werden kann. Die besondere Funktion des TPMs sorge dabei dafür, dass ein verschlüsseltes Abbild nur dann wieder entschlüsselt werden kann, wenn die verschlüsselten Daten mit einem zuvor in dem Register gespeicherten Wert übereinstimmen. Da das dazu genutzte Register aber auch unter Lockdown-Bedingungen nur vom Kernel beschrieben werden kann, nicht jedoch von einem Angreifer mit Root-Rechten, lässt sich damit ein manipulationssicherer Hibernation-Ruhezustand umsetzen.

Umgangen werden könnte das noch durch das Starten einen alten Kernels, so Garrett. Aber auch hier kann mittels Secure Boot im Startprozess auf ein TPM zurückgegriffen werden, das neue Kernel mit der Funktion verifiziert und den Start eines alten Kernels ohne die Schutzfunktion verhindert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Meta stoppt ausgefeilte russische Desinformationskampagne

Gefakte Webseiten deutscher Medien machen Stimmung gegen die Russland-Sanktionen. Die falschen Artikel wurden über soziale Medien verbreitet.

Ukrainekrieg: Meta stoppt ausgefeilte russische Desinformationskampagne
Artikel
  1. Polizei NRW: Palantir-Software verteuert sich drastisch
    Polizei NRW
    Palantir-Software verteuert sich drastisch

    Nordrhein-Westfalen muss deutlich mehr Geld für eine Datenbanksoftware ausgeben. Doch es sollen damit schon Straftaten verhindert worden sein.

  2. Core-i-13000: Intel präsentiert Raptor Lake mit bis zu 5,8 GHz
    Core-i-13000
    Intel präsentiert Raptor Lake mit bis zu 5,8 GHz

    Auf der Innovation hat Intel die 13. Core Generation vorgestellt. Kernzahl, Takt und Effizienz sollen deutlich steigen.

  3. Creative Commons, Pixabay, Unsplash: Rechtliche Fallstricke bei Gratis-Stockfotos
    Creative Commons, Pixabay, Unsplash
    Rechtliche Fallstricke bei Gratis-Stockfotos

    Pixabay, Unsplash, CC ermöglichen eine gebührenfreie Nutzung kreativer Werke. Vorsicht ist dennoch geboten: vor Abmahnmaschen, falschen Quellenangaben, unklarer Rechtslage.
    Eine Analyse von Florian Zandt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AMD Ryzen 7000 jetzt bestellbar • CyberWeek: PC-Tower, Cooling & Co. • Günstig wie nie: Asus RX 6700 XT 539€, Acer 31,5" 4K 144 Hz 899€, MSI RTX 3090 1.159€ • AMD Ryzen 7 5800X 287,99€ • Xbox Wireless Controller 49,99€ • MindStar (Gigabyte RTX 3060 Ti 522€) [Werbung]
    •  /