Linux: Kernel-Lockdown zur Aufnahme im Hauptzweig vorgeschlagen

Nach jahrelanger Arbeit sind die Patches für den sogenannten Kernel-Lockdown zur Aufnahme in den Hauptzweig von Linux vorgeschlagen worden. Jetzt liegt es an Chef-Entwickler Torvalds, dies für die kommende Version umzusetzen.

Artikel veröffentlicht am ,
Nach langer Entwicklung stehen die Lockdown-Patches kurz vor der Aufnahme in den Linux-Kernel.
Nach langer Entwicklung stehen die Lockdown-Patches kurz vor der Aufnahme in den Linux-Kernel. (Bild: Peter Swaine, Flickr.com/CC-BY 2.0)

Der für das Security-Subsystem des Linux-Kernels zuständige Maintainer James Morris hat den Code für den sogenannten Kernel-Lockdown zur Aufnahme in den Hauptzweig vorgeschlagen. Die Funktion könnte damit Teil der kommenden Linux-Version 5.4 werden, die Mitte November erscheinen sollte. Zuvor waren die Patches bereits in einen Testing-Zweig eingepflegt worden.

Stellenmarkt
  1. IT Systemadministrator (m/w/d)
    ACCON-RVS Accounting & Consulting GmbH, Berlin
  2. Senior Software Engineer - Embedded Systems (m/w/d)
    IAV GmbH, Sindelfingen
Detailsuche

Ob der Code tatsächlich aufgenommen wird, hängt nur noch von Chef-Entwickler Linus Torvalds ab, der den Hauptzweig verantwortet. Dabei dürfte es sich wohl um eine Formsache handeln, da die Linux-Entwicklercommunity schon seit ungefähr sieben Jahren über eine derartige Technik diskutiert, worauf der Entwickler Matthew Garrett hinweist, der zuletzt für die Patches zuständig war.

Ziel der Patches ist es, dass der laufende Kernel von einem Angreifer nicht dauerhaft verändert werden kann, indem der Zugriff auf bestimmte Kernel-Schnittstellen schlicht verhindert wird. Das geht sogar so weit, dass damit der Root-Nutzer (UID-0) teilweise vom laufenden Kernel mit seinen Systemberechtigungen (Ring-0) getrennt werden soll. Solch eine Trennung existiert bisher nicht. Viele Distributoren setzen bereits auf ähnliche, eigene Implementierungen. Mit den Lockdown-Patches im Hauptzweig kann die Technik aber vereinheitlicht werden.

Vor rund eineinhalb Jahren sorgte eine Revision der Patches noch für deutliche Kritik von Seiten einiger Entwickler. Hauptkritikpunkt war damals die Verknüpfung der Funktion mit UEFI Secure Boot. Garrett hatte die Arbeit an den Patches übernommen, unter anderem, um auf die damals geäußerte Kritik einzugehen. Inzwischen ist der Kernel-Lockdown unabhängig von UEFI Secure Boot und darüber hinaus als sogenanntes Linux-Security-Modul (LSM) umgearbeitet worden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Raspberry Pi
Besser gießen mit Raspi und Xiaomi-Pflanzensensor

Wer keinen grünen Daumen hat, kann sich von Sensoren helfen lassen. Komfortabel sind sie aber erst, wenn die Daten automatisch ausgelesen werden.
Eine Anleitung von Thomas Hahn

Raspberry Pi: Besser gießen mit Raspi und Xiaomi-Pflanzensensor
Artikel
  1. Framedeck: Bastler verwandelt Framework Laptop in Retro-Terminal-PC
    Framedeck
    Bastler verwandelt Framework Laptop in Retro-Terminal-PC

    Mainboard und der Akku des Framework Laptop bilden die Grundlage des Framedeck, das seinerseits von einem PC der 80er inspiriert wurde.

  2. Bundesländer: Umweltminister einig über Autobahn-Tempolimit
    Bundesländer
    Umweltminister einig über Autobahn-Tempolimit

    Die Landesumweltminister der Bundesländer haben sich einstimmig für ein Tempolimit auf Autobahnen ausgesprochen. Was fehlt, ist dessen Höhe.

  3. Heimkino und Hi-Fi: Onkyo meldet Konkurs an
    Heimkino und Hi-Fi
    Onkyo meldet Konkurs an

    Onkyo hat beim Bezirksgericht Osaka Konkurs angemeldet. Ob das überschuldete Unternehmen gerettet werden kann, ist ungewiss.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 46% Rabatt auf Mäuse & Tastaturen • Grafikkarten günstig wie nie (u. a. RTX 3080Ti 12GB 1.285€) • Samsung SSD 1TB (PS5-komp.) günstig wie nie: 143,99€ • Microsoft Surface günstig wie nie • Jubiläumsangebote bei MediaMarkt • Bosch Prof. bis zu 53% günstiger[Werbung]
    •  /