Linux: Lockdown-Patches im Kernel aufgenommen
Nach mehreren Dutzend Iterationen und jahrelanger Arbeit hat der Chefentwickler des Linux-Kernels, Linus Torvalds, die sogenannten Lockdown-Patches in seinen Hauptzweig aufgenommen(öffnet im neuen Fenster) . Die Patches sind damit nun offiziell Teil der kommenden Linux-Version 5.4, die voraussichtlich Mitte November erscheinen wird. Der für die Patches zuständige Entwickler Matthew Garrett kommentiert dies auf Twitter(öffnet im neuen Fenster) offenbar erleichtert mit: "Heilige Scheiße" .
Der für das Security-Subsystem des Linux-Kernels zuständige Maintainer James Morris hatte die Aufnahme bereits vor mehr als zwei Wochen offiziell vorgeschlagen . Auf Nachfrage des Suse-Entwicklers Jiri Kosina bestätigte Torvalds zuvor aber noch(öffnet im neuen Fenster) , dass dieser die Änderungen wegen ihrer Geschichte erst einzeln überprüfen wolle. Torvalds hat nach eigener Aussage(öffnet im neuen Fenster) nun aber nichts mehr zu beanstanden und die Patches nun eben eingepflegt.
Ziel der Patches ist es, dass der laufende Kernel von einem Angreifer nicht dauerhaft verändert werden kann, indem der Zugriff auf bestimmte Kernel-Schnittstellen verhindert wird. Das geht sogar so weit, dass damit der Root-Nutzer (UID-0) teilweise vom laufenden Kernel mit seinen Systemberechtigungen (Ring-0) getrennt wird. Solch eine Trennung existiert bisher nicht. Viele Distributoren setzen bereits auf ähnliche, eigene Implementierungen. Mit den Lockdown-Patches im Hauptzweig kann die Technik nun aber endlich vereinheitlicht werden.
Vor rund eineinhalb Jahren sorgte eine Revision der Patches noch für deutliche Kritik einiger Entwickler. Hauptkritikpunkt war damals die Verknüpfung der Funktion mit UEFI Secure Boot. Garrett hatte die Arbeit an den Patches übernommen. Inzwischen ist der Kernel-Lockdown unabhängig von UEFI Secure Boot und darüber hinaus als sogenanntes Linux-Security-Modul (LSM) umgearbeitet worden. Garrett wird die Funktion künftig auch offiziell als Maintainer betreuen.