Abo
  • IT-Karriere:

Secure Boot: Patches für Kernel-Lockdown wiederbelebt

Die Patches zum Kernel-Lockdown sollen den laufenden Linux-Kernel vor Veränderungen schützen. Nach jahrelangen Diskussionen hat Google-Entwickler Matthew Garrett die Pflege der Patches übernommen und treibt die Entwicklung mit großer Geschwindigkeit voran.

Artikel veröffentlicht am ,
Am Kernel-Lockdown für Linux wird wieder aktiv gearbeitet.
Am Kernel-Lockdown für Linux wird wieder aktiv gearbeitet. (Bild: Boris Kasimov, flickr.com/CC-BY 2.0)

Der bei Google angestellte Linux-Entwickler Matthew Garrett hat die inzwischen 32. Revision der Patches für den sogenannten Kernel-Lockdown veröffentlicht. Die Arbeiten dauern inzwischen schon mehr als zwei Jahre und Garrett hat nun offiziell die Pflege der Patches vom bisherigen Betreuer David Howells übernommen, wie das Magazin LWN.net berichtet. Garretts Ziel ist es offenbar, die Diskussionen und den Code aktiver als bisher voranzutreiben, so dass der Code letztlich in den Hauptzweig des Linux-Kernel eingepflegt werden kann.

Stellenmarkt
  1. Art-Invest Real Estate Management GmbH & Co KG, Köln
  2. Vodafone GmbH, Hamburg

Die seit langem erstellten Patches sollen dafür sorgen, dass der laufende Kernel von einem Angreifer nicht dauerhaft verändert werden kann, indem der Zugriff auf bestimmte Kernel-Schnittstellen schlicht verhindert wird. Das geht sogar so weit, dass damit der Root-Nutzer (UID-0) teilweise vom laufenden Kernel mit seinen Systemberechtigungen (Ring-0) getrennt werden soll. Solch eine Trennung existiert bisher nicht.

Kernel-Lockdown auch ohne Secure Boot

Vor ungefähr einem Jahr ist der Code vom zuständigen Security-Maintainer James Morris in einen Kernel-Zweig für kommende Veröffentlichungen eingepflegt worden. Code in diesem Zweig landet früher oder später turnusgemäß bei Linux-Chefentwickler Linus Torvalds, der die jeweils aktuellen Kernel-Versionen verantwortet. Torvalds sowie andere Entwickler widersprachen damals aber teilweise massiv dem Code, weshalb dieser bisher auch noch nicht allgemein verfügbar ist.

Garrett versucht nun bereits seit einigen Wochen, auf die Kritik einzugehen und den Code entsprechend anzupassen. Der wohl wichtigste Schritt dabei ist, die Nutzung des Kernel-Lockdown technisch von der Nutzung von UEFI Secure Boot zu trennen, was bereits umgesetzt worden ist. Die Lockdown-Patches waren ursprünglich als eine Art logische Erweiterung der Secure-Boot-Funktionalität gedacht. Garrett selbst war auch schon eine der treibenden Kräfte für die Secure-Boot-Umsetzung in Linux. Die Trennung macht den Lockdown aber auch außerhalb von Secure Boot verfügbar.

Wann und ob die Patches in den Hauptzweig eingepflegt werden, ist derzeit noch unklar. Laut dem Bericht von LWN haben sich bisher aber weder Linus Torvalds noch James Morris zu dem aktuellen Stand der Patches geäußert. Die Aufnahme in den Hauptzweig könnte vor allem den verschiedenen Linux-Distributionen helfen, die bisher eigene, aber unterschiedliche Abwandlungen der Technik einsetzen. Würden die Patches aufgenommen, könnten die Distributionen auf eine einheitliche Basis in der Community zurückgreifen.



Anzeige
Hardware-Angebote
  1. 399€ (Wert der Spiele rund 212€)
  2. täglich neue Deals bei Alternate.de

FreiGeistler 08. Apr 2019 / Themenstart

Dass man dann Linux-lockdown installiert, ähnlich z.B. Linux-ck?

Kommentieren


Folgen Sie uns
       


Speedport Pro - Test

Der Speedport Pro ist gerade im WLAN verglichen mit dem älteren Speedport Hybrid eine Verbesserung. Allerdings zeigt sich in unserem Test auch, dass die maximale Datenrate nicht steigt. Eher das Gegenteil ist der Fall.

Speedport Pro - Test Video aufrufen
Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
Homeoffice
Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
Ein Erfahrungsbericht von Marvin Engel

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?
  3. Milla Bund sagt Pläne für KI-gesteuerte Weiterbildungsplattform ab

    •  /