Abo
  • IT-Karriere:

Secure Boot: Patches für Kernel-Lockdown wiederbelebt

Die Patches zum Kernel-Lockdown sollen den laufenden Linux-Kernel vor Veränderungen schützen. Nach jahrelangen Diskussionen hat Google-Entwickler Matthew Garrett die Pflege der Patches übernommen und treibt die Entwicklung mit großer Geschwindigkeit voran.

Artikel veröffentlicht am ,
Am Kernel-Lockdown für Linux wird wieder aktiv gearbeitet.
Am Kernel-Lockdown für Linux wird wieder aktiv gearbeitet. (Bild: Boris Kasimov, flickr.com/CC-BY 2.0)

Der bei Google angestellte Linux-Entwickler Matthew Garrett hat die inzwischen 32. Revision der Patches für den sogenannten Kernel-Lockdown veröffentlicht. Die Arbeiten dauern inzwischen schon mehr als zwei Jahre und Garrett hat nun offiziell die Pflege der Patches vom bisherigen Betreuer David Howells übernommen, wie das Magazin LWN.net berichtet. Garretts Ziel ist es offenbar, die Diskussionen und den Code aktiver als bisher voranzutreiben, so dass der Code letztlich in den Hauptzweig des Linux-Kernel eingepflegt werden kann.

Stellenmarkt
  1. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  2. Interhyp Gruppe, München

Die seit langem erstellten Patches sollen dafür sorgen, dass der laufende Kernel von einem Angreifer nicht dauerhaft verändert werden kann, indem der Zugriff auf bestimmte Kernel-Schnittstellen schlicht verhindert wird. Das geht sogar so weit, dass damit der Root-Nutzer (UID-0) teilweise vom laufenden Kernel mit seinen Systemberechtigungen (Ring-0) getrennt werden soll. Solch eine Trennung existiert bisher nicht.

Kernel-Lockdown auch ohne Secure Boot

Vor ungefähr einem Jahr ist der Code vom zuständigen Security-Maintainer James Morris in einen Kernel-Zweig für kommende Veröffentlichungen eingepflegt worden. Code in diesem Zweig landet früher oder später turnusgemäß bei Linux-Chefentwickler Linus Torvalds, der die jeweils aktuellen Kernel-Versionen verantwortet. Torvalds sowie andere Entwickler widersprachen damals aber teilweise massiv dem Code, weshalb dieser bisher auch noch nicht allgemein verfügbar ist.

Garrett versucht nun bereits seit einigen Wochen, auf die Kritik einzugehen und den Code entsprechend anzupassen. Der wohl wichtigste Schritt dabei ist, die Nutzung des Kernel-Lockdown technisch von der Nutzung von UEFI Secure Boot zu trennen, was bereits umgesetzt worden ist. Die Lockdown-Patches waren ursprünglich als eine Art logische Erweiterung der Secure-Boot-Funktionalität gedacht. Garrett selbst war auch schon eine der treibenden Kräfte für die Secure-Boot-Umsetzung in Linux. Die Trennung macht den Lockdown aber auch außerhalb von Secure Boot verfügbar.

Wann und ob die Patches in den Hauptzweig eingepflegt werden, ist derzeit noch unklar. Laut dem Bericht von LWN haben sich bisher aber weder Linus Torvalds noch James Morris zu dem aktuellen Stand der Patches geäußert. Die Aufnahme in den Hauptzweig könnte vor allem den verschiedenen Linux-Distributionen helfen, die bisher eigene, aber unterschiedliche Abwandlungen der Technik einsetzen. Würden die Patches aufgenommen, könnten die Distributionen auf eine einheitliche Basis in der Community zurückgreifen.



Anzeige
Top-Angebote
  1. 4,49€
  2. (-70%) 14,99€
  3. 0,00€ im Epic Store
  4. (aktuell u. a. Asus PG279Q ROG Monitor 689€, Corsair Glaive RGB Maus 34,99€)

FreiGeistler 08. Apr 2019

Dass man dann Linux-lockdown installiert, ähnlich z.B. Linux-ck?


Folgen Sie uns
       


E-Bike-Neuerungen von Bosch angesehen

Neue Motoren und mehr Selbstständigkeit für Boschs E-Bike Systems - wir haben uns angesehen, was für 2020 geplant ist.

E-Bike-Neuerungen von Bosch angesehen Video aufrufen
In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

Projektorkauf: Lumen, ANSI und mehr
Projektorkauf
Lumen, ANSI und mehr

Gerade bei Projektoren werden auf Plattformen verschiedener Onlinehändler kuriose Angaben zur Helligkeit beziehungsweise Leuchtstärke gemacht - sofern diese überhaupt angegeben werden. Wir bringen etwas Licht ins Dunkel und beschäftigen uns mit Einheiten rund um das Thema Helligkeit.
Von Mike Wobker


    In eigener Sache: Golem.de bietet Seminar zu TLS an
    In eigener Sache
    Golem.de bietet Seminar zu TLS an

    Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

    1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
    2. Leserumfrage Wie können wir dich unterstützen?
    3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

      •  /