Original-URL des Artikels: https://www.golem.de/news/secure-boot-patches-fuer-kernel-lockdown-wiederbelebt-1904-140492.html    Veröffentlicht: 05.04.2019 13:35    Kurz-URL: https://glm.io/140492

Secure Boot

Patches für Kernel-Lockdown wiederbelebt

Die Patches zum Kernel-Lockdown sollen den laufenden Linux-Kernel vor Veränderungen schützen. Nach jahrelangen Diskussionen hat Google-Entwickler Matthew Garrett die Pflege der Patches übernommen und treibt die Entwicklung mit großer Geschwindigkeit voran.

Der bei Google angestellte Linux-Entwickler Matthew Garrett hat die inzwischen 32. Revision der Patches für den sogenannten Kernel-Lockdown veröffentlicht. Die Arbeiten dauern inzwischen schon mehr als zwei Jahre und Garrett hat nun offiziell die Pflege der Patches vom bisherigen Betreuer David Howells übernommen, wie das Magazin LWN.net berichtet. Garretts Ziel ist es offenbar, die Diskussionen und den Code aktiver als bisher voranzutreiben, so dass der Code letztlich in den Hauptzweig des Linux-Kernel eingepflegt werden kann.

Die seit langem erstellten Patches sollen dafür sorgen, dass der laufende Kernel von einem Angreifer nicht dauerhaft verändert werden kann, indem der Zugriff auf bestimmte Kernel-Schnittstellen schlicht verhindert wird. Das geht sogar so weit, dass damit der Root-Nutzer (UID-0) teilweise vom laufenden Kernel mit seinen Systemberechtigungen (Ring-0) getrennt werden soll. Solch eine Trennung existiert bisher nicht.

Kernel-Lockdown auch ohne Secure Boot

Vor ungefähr einem Jahr ist der Code vom zuständigen Security-Maintainer James Morris in einen Kernel-Zweig für kommende Veröffentlichungen eingepflegt worden. Code in diesem Zweig landet früher oder später turnusgemäß bei Linux-Chefentwickler Linus Torvalds, der die jeweils aktuellen Kernel-Versionen verantwortet. Torvalds sowie andere Entwickler widersprachen damals aber teilweise massiv dem Code, weshalb dieser bisher auch noch nicht allgemein verfügbar ist.

Garrett versucht nun bereits seit einigen Wochen, auf die Kritik einzugehen und den Code entsprechend anzupassen. Der wohl wichtigste Schritt dabei ist, die Nutzung des Kernel-Lockdown technisch von der Nutzung von UEFI Secure Boot zu trennen, was bereits umgesetzt worden ist. Die Lockdown-Patches waren ursprünglich als eine Art logische Erweiterung der Secure-Boot-Funktionalität gedacht. Garrett selbst war auch schon eine der treibenden Kräfte für die Secure-Boot-Umsetzung in Linux. Die Trennung macht den Lockdown aber auch außerhalb von Secure Boot verfügbar.

Wann und ob die Patches in den Hauptzweig eingepflegt werden, ist derzeit noch unklar. Laut dem Bericht von LWN haben sich bisher aber weder Linus Torvalds noch James Morris zu dem aktuellen Stand der Patches geäußert. Die Aufnahme in den Hauptzweig könnte vor allem den verschiedenen Linux-Distributionen helfen, die bisher eigene, aber unterschiedliche Abwandlungen der Technik einsetzen. Würden die Patches aufgenommen, könnten die Distributionen auf eine einheitliche Basis in der Community zurückgreifen.  (sg)


Verwandte Artikel:
Linux: Kernel-Lockdown-Patches kommen als Security-Modul   
(25.06.2019, https://glm.io/142134 )
Security: Wireguard-VPN für MacOS erschienen   
(18.02.2019, https://glm.io/139444 )
Retpoline: Linux-Kernel soll besseren Spectre-Schutz bekommen   
(02.01.2019, https://glm.io/138448 )
Servermarkt: Torvalds glaubt, ARM habe "keine echten Vorteile"   
(25.02.2019, https://glm.io/139620 )
SR20: Zero-Day-Sicherheitslücke in TP-Link-Router   
(01.04.2019, https://glm.io/140379 )

© 1997–2019 Golem.de, https://www.golem.de/