Secure Boot: Patches für Kernel-Lockdown wiederbelebt

Die Patches zum Kernel-Lockdown sollen den laufenden Linux-Kernel vor Veränderungen schützen. Nach jahrelangen Diskussionen hat Google-Entwickler Matthew Garrett die Pflege der Patches übernommen und treibt die Entwicklung mit großer Geschwindigkeit voran.

Artikel veröffentlicht am ,
Am Kernel-Lockdown für Linux wird wieder aktiv gearbeitet.
Am Kernel-Lockdown für Linux wird wieder aktiv gearbeitet. (Bild: Boris Kasimov, flickr.com/CC-BY 2.0)

Der bei Google angestellte Linux-Entwickler Matthew Garrett hat die inzwischen 32. Revision der Patches für den sogenannten Kernel-Lockdown veröffentlicht. Die Arbeiten dauern inzwischen schon mehr als zwei Jahre und Garrett hat nun offiziell die Pflege der Patches vom bisherigen Betreuer David Howells übernommen, wie das Magazin LWN.net berichtet. Garretts Ziel ist es offenbar, die Diskussionen und den Code aktiver als bisher voranzutreiben, so dass der Code letztlich in den Hauptzweig des Linux-Kernel eingepflegt werden kann.

Die seit langem erstellten Patches sollen dafür sorgen, dass der laufende Kernel von einem Angreifer nicht dauerhaft verändert werden kann, indem der Zugriff auf bestimmte Kernel-Schnittstellen schlicht verhindert wird. Das geht sogar so weit, dass damit der Root-Nutzer (UID-0) teilweise vom laufenden Kernel mit seinen Systemberechtigungen (Ring-0) getrennt werden soll. Solch eine Trennung existiert bisher nicht.

Kernel-Lockdown auch ohne Secure Boot

Vor ungefähr einem Jahr ist der Code vom zuständigen Security-Maintainer James Morris in einen Kernel-Zweig für kommende Veröffentlichungen eingepflegt worden. Code in diesem Zweig landet früher oder später turnusgemäß bei Linux-Chefentwickler Linus Torvalds, der die jeweils aktuellen Kernel-Versionen verantwortet. Torvalds sowie andere Entwickler widersprachen damals aber teilweise massiv dem Code, weshalb dieser bisher auch noch nicht allgemein verfügbar ist.

Garrett versucht nun bereits seit einigen Wochen, auf die Kritik einzugehen und den Code entsprechend anzupassen. Der wohl wichtigste Schritt dabei ist, die Nutzung des Kernel-Lockdown technisch von der Nutzung von UEFI Secure Boot zu trennen, was bereits umgesetzt worden ist. Die Lockdown-Patches waren ursprünglich als eine Art logische Erweiterung der Secure-Boot-Funktionalität gedacht. Garrett selbst war auch schon eine der treibenden Kräfte für die Secure-Boot-Umsetzung in Linux. Die Trennung macht den Lockdown aber auch außerhalb von Secure Boot verfügbar.

Wann und ob die Patches in den Hauptzweig eingepflegt werden, ist derzeit noch unklar. Laut dem Bericht von LWN haben sich bisher aber weder Linus Torvalds noch James Morris zu dem aktuellen Stand der Patches geäußert. Die Aufnahme in den Hauptzweig könnte vor allem den verschiedenen Linux-Distributionen helfen, die bisher eigene, aber unterschiedliche Abwandlungen der Technik einsetzen. Würden die Patches aufgenommen, könnten die Distributionen auf eine einheitliche Basis in der Community zurückgreifen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
OpenAI
Girlfriend-Chatbots verstoßen gegen die Regeln des GPT-Store

Nur einen Tag, nachdem OpenAI ChatGPT für Entwickler geöffnet hat, lassen sich Angebote finden, die es nicht geben dürfte.

OpenAI: Girlfriend-Chatbots verstoßen gegen die Regeln des GPT-Store
Artikel
  1. AVM: Huawei-Patent kommt in Fritzboxen nicht zum Einsatz
    AVM
    Huawei-Patent kommt in Fritzboxen nicht "zum Einsatz"

    Huawei hat einen großen Patentpool zu Wi-Fi 6. Fritzbox-Hersteller AVM hat die Patente nach eigenen Angaben in seinen Wi-Fi-6-Routern nicht genutzt, will sie aber dennoch für ungültig erklären lassen.

  2. LTE: Kaum weniger Funklöcher in Deutschland
    LTE
    Kaum weniger Funklöcher in Deutschland

    Während bei 5G viel ausgebaut wurde, haben die Netzbetreiber zu wenig LTE-Funklöcher geschlossen. Das ergab zumindest eine Auswertung von Verivox.

  3. E-Corner: Hyundai entwickelt Klappräder zum seitlichen Einparken
    E-Corner
    Hyundai entwickelt Klappräder zum seitlichen Einparken

    Die Hyundai-Tochter Mobis präsentiert eine Technik, mit der sich die Autoräder seitlich drehen lassen, um das parallele Einparken zu erleichtern.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Lenovo 34" 21:9 Curved WQHD 299€ • ASRock RX 7900 XTX 1.039,18€ • War Hospital 21,59€ • Amazon-Geräte -50% • Acer 34" OLED UWQHD 175Hz 999€ • PS5 + Spider-Man 2 569€ • AMD Ryzen 9 5950X 379€ • Switch-Controller 17,84€ • AOC 27" QHD 165Hz 229€ • 3 Spiele für 49€ [Werbung]
    •  /