Linux: Kernel-Lockdown zur Aufnahme im Hauptzweig vorgeschlagen
Der für das Security-Subsystem des Linux-Kernels zuständige Maintainer James Morris hat den Code für den sogenannten Kernel-Lockdown zur Aufnahme in den Hauptzweig vorgeschlagen(öffnet im neuen Fenster) . Die Funktion könnte damit Teil der kommenden Linux-Version 5.4 werden, die Mitte November erscheinen sollte. Zuvor waren die Patches bereits in einen Testing-Zweig eingepflegt worden.
Ob der Code tatsächlich aufgenommen wird, hängt nur noch von Chef-Entwickler Linus Torvalds ab, der den Hauptzweig verantwortet. Dabei dürfte es sich wohl um eine Formsache handeln, da die Linux-Entwicklercommunity schon seit ungefähr sieben Jahren über eine derartige Technik diskutiert, worauf der Entwickler Matthew Garrett hinweist(öffnet im neuen Fenster) , der zuletzt für die Patches zuständig war.
Ziel der Patches ist es, dass der laufende Kernel von einem Angreifer nicht dauerhaft verändert werden kann, indem der Zugriff auf bestimmte Kernel-Schnittstellen schlicht verhindert wird. Das geht sogar so weit, dass damit der Root-Nutzer (UID-0) teilweise vom laufenden Kernel mit seinen Systemberechtigungen (Ring-0) getrennt werden soll. Solch eine Trennung existiert bisher nicht. Viele Distributoren setzen bereits auf ähnliche, eigene Implementierungen. Mit den Lockdown-Patches im Hauptzweig kann die Technik aber vereinheitlicht werden.
Vor rund eineinhalb Jahren sorgte eine Revision der Patches noch für deutliche Kritik von Seiten einiger Entwickler . Hauptkritikpunkt war damals die Verknüpfung der Funktion mit UEFI Secure Boot. Garrett hatte die Arbeit an den Patches übernommen , unter anderem, um auf die damals geäußerte Kritik einzugehen. Inzwischen ist der Kernel-Lockdown unabhängig von UEFI Secure Boot und darüber hinaus als sogenanntes Linux-Security-Modul (LSM) umgearbeitet worden.