• IT-Karriere:
  • Services:

Secure Boot: Patches für Kernel-Lockdown wiederbelebt

Die Patches zum Kernel-Lockdown sollen den laufenden Linux-Kernel vor Veränderungen schützen. Nach jahrelangen Diskussionen hat Google-Entwickler Matthew Garrett die Pflege der Patches übernommen und treibt die Entwicklung mit großer Geschwindigkeit voran.

Artikel veröffentlicht am ,
Am Kernel-Lockdown für Linux wird wieder aktiv gearbeitet.
Am Kernel-Lockdown für Linux wird wieder aktiv gearbeitet. (Bild: Boris Kasimov, flickr.com/CC-BY 2.0)

Der bei Google angestellte Linux-Entwickler Matthew Garrett hat die inzwischen 32. Revision der Patches für den sogenannten Kernel-Lockdown veröffentlicht. Die Arbeiten dauern inzwischen schon mehr als zwei Jahre und Garrett hat nun offiziell die Pflege der Patches vom bisherigen Betreuer David Howells übernommen, wie das Magazin LWN.net berichtet. Garretts Ziel ist es offenbar, die Diskussionen und den Code aktiver als bisher voranzutreiben, so dass der Code letztlich in den Hauptzweig des Linux-Kernel eingepflegt werden kann.

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main
  2. Freie und Hansestadt Hamburg, Behörde für Stadtentwicklung und Wohnen, Hamburg

Die seit langem erstellten Patches sollen dafür sorgen, dass der laufende Kernel von einem Angreifer nicht dauerhaft verändert werden kann, indem der Zugriff auf bestimmte Kernel-Schnittstellen schlicht verhindert wird. Das geht sogar so weit, dass damit der Root-Nutzer (UID-0) teilweise vom laufenden Kernel mit seinen Systemberechtigungen (Ring-0) getrennt werden soll. Solch eine Trennung existiert bisher nicht.

Kernel-Lockdown auch ohne Secure Boot

Vor ungefähr einem Jahr ist der Code vom zuständigen Security-Maintainer James Morris in einen Kernel-Zweig für kommende Veröffentlichungen eingepflegt worden. Code in diesem Zweig landet früher oder später turnusgemäß bei Linux-Chefentwickler Linus Torvalds, der die jeweils aktuellen Kernel-Versionen verantwortet. Torvalds sowie andere Entwickler widersprachen damals aber teilweise massiv dem Code, weshalb dieser bisher auch noch nicht allgemein verfügbar ist.

Garrett versucht nun bereits seit einigen Wochen, auf die Kritik einzugehen und den Code entsprechend anzupassen. Der wohl wichtigste Schritt dabei ist, die Nutzung des Kernel-Lockdown technisch von der Nutzung von UEFI Secure Boot zu trennen, was bereits umgesetzt worden ist. Die Lockdown-Patches waren ursprünglich als eine Art logische Erweiterung der Secure-Boot-Funktionalität gedacht. Garrett selbst war auch schon eine der treibenden Kräfte für die Secure-Boot-Umsetzung in Linux. Die Trennung macht den Lockdown aber auch außerhalb von Secure Boot verfügbar.

Wann und ob die Patches in den Hauptzweig eingepflegt werden, ist derzeit noch unklar. Laut dem Bericht von LWN haben sich bisher aber weder Linus Torvalds noch James Morris zu dem aktuellen Stand der Patches geäußert. Die Aufnahme in den Hauptzweig könnte vor allem den verschiedenen Linux-Distributionen helfen, die bisher eigene, aber unterschiedliche Abwandlungen der Technik einsetzen. Würden die Patches aufgenommen, könnten die Distributionen auf eine einheitliche Basis in der Community zurückgreifen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a.Warhammer 40.000 Mechanicus für 13,99€, Pillars of Eternity für 15,99€, Surviving Mars...
  2. (u. a. 970 Evo 1 TB für 149,90€, 970 Evo 500 GB für 77,90€)
  3. (u. a. Acer 27 Zoll Monitor für 179,00€, Benq 27 Zoll Monitor für 132,90€, Logitech G613...
  4. 27,90€ (zzgl. Versand)

FreiGeistler 08. Apr 2019

Dass man dann Linux-lockdown installiert, ähnlich z.B. Linux-ck?


Folgen Sie uns
       


Blackmagic Pocket Cinema Camera 6k im Test

Die neue Pocket Cinema Camera 6k von Blackmagicdesign hat nur wenig mit DSLR-Kameras gemein. Die Kamera liefert Highend-Qualität, erfordert aber entsprechendes Profiwissen - und wir vermissen einige Funktionen.

Blackmagic Pocket Cinema Camera 6k im Test Video aufrufen
Mr. Robot rezensiert: Domo Arigato, Mr. Robot!
Mr. Robot rezensiert
Domo Arigato, Mr. Robot!

Wie im Achtziger-Klassiker Mr. Roboto von Styx hat auch Elliot in Mr. Robot Geheimnisse. Die Dramaserie um den Hacker ist nicht nur wegen Rami Malek grandios. Sie hat einen ganz eigenen beeindruckenden visuellen Stil und zeigt Hacking, wie es wirklich ist. Wir blicken nach dem Serienfinale zurück.
Eine Rezension von Oliver Nickel und Moritz Tremmel

  1. Openideo-Wettbewerb Die fünf besten Hacker-Symbolbilder sind ausgewählt
  2. Cyberangriffe Attribution ist wie ein Indizienprozess
  3. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken

Europäische Netzpolitik: Die Rückkehr des Axel Voss
Europäische Netzpolitik
Die Rückkehr des Axel Voss

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

  1. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  2. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

Kailh-Box-Switches im Test: Besser und lauter geht ein klickender Switch kaum
Kailh-Box-Switches im Test
Besser und lauter geht ein klickender Switch kaum

Wer klickende Tastatur-Switches mag, wird die dunkelblauen Kailh-Box-Schalter lieben: Eine eingebaute Stahlfeder sorgt für zwei satte Klicks pro Anschlag. Im Test merken unsere Finger aber schnell den hohen taktilen Widerstand.
Ein Test von Tobias Költzsch

  1. Keychron K6 Kompakte drahtlose Tastatur mit austauschbaren Switches
  2. Charachorder Schneller tippen als die Tastatur erlaubt
  3. Brydge+ iPad-Tastatur mit Multi-Touch-Trackpad

    •  /