Linux: Kernel-Lockdown soll Ruhezustand unterstützen

Der Ruhezustand des Systems auf der Festplatte (Hibernation) soll mit Hilfe eines TPMs endlich auch im Kernel-Lockdown genutzt werden können.

Artikel veröffentlicht am ,
Der Kernel-Lockdown in Linux soll den Root-Nutzer vom Rest des Kernels ausschließen.
Der Kernel-Lockdown in Linux soll den Root-Nutzer vom Rest des Kernels ausschließen. (Bild: Pixabay)

Der sogenannte Kernel-Lockdown, also die Trennung von Kernel-Rechten und dem Root-Account, soll künftig auch den Hibernation-Ruhezustand unterstützen. Das schreibt der für die Lockdown-Patches maßgeblich verantwortliche Entwickler Matthew Garrett in seinem Blog. Die dafür notwendigen Patches hat Garrett zur Aufnahme in Linux eingereicht. Wie Garrett schreibt, blockiere der Kernel-Lockdown eigentlich nur einige wenige Nischenfunktionen des Kernels und habe deshalb auf Nutzer wenig direkte Auswirkungen. Was bisher aber eben fehle, sei die Unterstützung für den Hibernation-Ruhezustand, der offenbar vielfach genutzt werde, wie es in der Ankündigung von Garrett heißt.

Stellenmarkt
  1. Software Entwickler Embedded Systems - C++ / Linux (m/w/d)
    OTT Hydromet GmbH, Kempten
  2. Help Desk Techniker (m/w/d)
    Scheidt & Bachmann System Service GmbH, Mönchengladbach
Detailsuche

Anders als beim Suspend-Ruhezustand, in dem der Systemzustand im Arbeitsspeicher abgelegt wird, wird beim Hibernation-Ruhezustand der Systemzustand auf die Festplatte geschrieben, was ein dauerhaftes Abschalten der Stromversorgung des genutzten Rechners ermöglicht. Linux nutzt dafür die Swap-Partition, in die ein Systemabbild geschrieben wird, mit einem speziellen Header, der den Kernel darüber informiert. Beim nächsten Start erkennt der Kernel den Header und stellt das Abbild wieder her.

Bisher gibt es aber keine Möglichkeit festzustellen, dass das so gestartete Abbild tatsächlich von dem eigenen alten und abgesicherten Kernel stammt. So könnten Angreifer mit Root-Rechten das korrekte Schreiben eines Abbilds theoretisch unterbinden, ein eigenes Abbild hinterlegen und so bei einem Neustart ihren eigenen Code in den sogenannten Kernel-Space einschleusen. Diese Veränderung von Kernel-Code durch Root-Nutzer soll der Kernel-Lockdown aber eigentlich verhindern, weshalb die Hibernation-Unterstützung bisher auch fehlt.

TPM zur Lockdown-Unterstützung

Eine einfache Festplattenverschlüsselung helfe hier aber nicht weiter, da das Angriffsszenario ja eben Angreifer mit Root-Rechten sind, die die Inhalte der Swap-Partition eh schon sehen können. Es fehle eine Verifikation dafür, dass das Hibernation-Abbild tatsächlich vom Kernel geschrieben wurde, nicht vom Root-Account, so Garrett.

Golem Akademie
  1. Linux-Systemadministration Grundlagen
    25.-29. Oktober 2021, online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. Linux-Shellprogrammierung
    2.-5. November 2021, online
Weitere IT-Trainings

In seinen Patches greift Garrett dabei auf ein bestimmtes Register im TPM des Rechners zurück, das nur vom Kernel beschrieben werden kann. Die besondere Funktion des TPMs sorge dabei dafür, dass ein verschlüsseltes Abbild nur dann wieder entschlüsselt werden kann, wenn die verschlüsselten Daten mit einem zuvor in dem Register gespeicherten Wert übereinstimmen. Da das dazu genutzte Register aber auch unter Lockdown-Bedingungen nur vom Kernel beschrieben werden kann, nicht jedoch von einem Angreifer mit Root-Rechten, lässt sich damit ein manipulationssicherer Hibernation-Ruhezustand umsetzen.

Umgangen werden könnte das noch durch das Starten einen alten Kernels, so Garrett. Aber auch hier kann mittels Secure Boot im Startprozess auf ein TPM zurückgegriffen werden, das neue Kernel mit der Funktion verifiziert und den Start eines alten Kernels ohne die Schutzfunktion verhindert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Pixel 6 (Pro)
Googles Tensor-SoC ist eine wilde Mischung

Viel Samsung, wenig Google: Der Chip kombiniert extreme Computational Photography mit einem kuriosen Design zugunsten der Akkulaufzeit.
Eine Analyse von Marc Sauter

Pixel 6 (Pro): Googles Tensor-SoC ist eine wilde Mischung
Artikel
  1. Krypto: Bitcoin steigt auf neues Allzeithoch
    Krypto
    Bitcoin steigt auf neues Allzeithoch

    Der Wert vom April 2021 ist übertroffen: Der Bitcoin steigt zwischenzeitlich auf über 66.000 US-Dollar.

  2. Nintendo Switch: Deutscher Jugendschutz sperrt Dying Light in Australien
    Nintendo Switch
    Deutscher Jugendschutz sperrt Dying Light in Australien

    Das frisch für die Switch veröffentlichte Dying Light ist in Europa und in Australien nicht erhältlich - wegen des deutschen Jugendschutzes.

  3. Samsung: Galaxy Z Flip 3 kann konfiguriert werden
    Samsung
    Galaxy Z Flip 3 kann konfiguriert werden

    Samsung bietet das Falt-Smartphone Galaxy Z Flip 3 künftig auch in der Bespoke-Edition an - also in konfigurierbaren Farbkombinationen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week Finale: Bis 33% auf Digitus-Monitorhalterungen & bis 36 Prozent auf EVGA-Netzteile • Samsung-Monitore (u. a. 24" FHD 144Hz 169€) • Bosch Professional zu Bestpreisen • Sandisk Ultra 3D 500GB 47,99€ • Google Pixel 6 vorbestellbar ab 649€ + Bose Headphones als Geschenk [Werbung]
    •  /