Original-URL des Artikels: https://www.golem.de/news/linux-kernel-lockdown-zur-aufnahme-im-hauptzweig-vorgeschlagen-1909-143826.html    Veröffentlicht: 12.09.2019 13:30    Kurz-URL: https://glm.io/143826

Linux

Kernel-Lockdown zur Aufnahme im Hauptzweig vorgeschlagen

Nach jahrelanger Arbeit sind die Patches für den sogenannten Kernel-Lockdown zur Aufnahme in den Hauptzweig von Linux vorgeschlagen worden. Jetzt liegt es an Chef-Entwickler Torvalds, dies für die kommende Version umzusetzen.

Der für das Security-Subsystem des Linux-Kernels zuständige Maintainer James Morris hat den Code für den sogenannten Kernel-Lockdown zur Aufnahme in den Hauptzweig vorgeschlagen. Die Funktion könnte damit Teil der kommenden Linux-Version 5.4 werden, die Mitte November erscheinen sollte. Zuvor waren die Patches bereits in einen Testing-Zweig eingepflegt worden.

Ob der Code tatsächlich aufgenommen wird, hängt nur noch von Chef-Entwickler Linus Torvalds ab, der den Hauptzweig verantwortet. Dabei dürfte es sich wohl um eine Formsache handeln, da die Linux-Entwicklercommunity schon seit ungefähr sieben Jahren über eine derartige Technik diskutiert, worauf der Entwickler Matthew Garrett hinweist, der zuletzt für die Patches zuständig war.

Ziel der Patches ist es, dass der laufende Kernel von einem Angreifer nicht dauerhaft verändert werden kann, indem der Zugriff auf bestimmte Kernel-Schnittstellen schlicht verhindert wird. Das geht sogar so weit, dass damit der Root-Nutzer (UID-0) teilweise vom laufenden Kernel mit seinen Systemberechtigungen (Ring-0) getrennt werden soll. Solch eine Trennung existiert bisher nicht. Viele Distributoren setzen bereits auf ähnliche, eigene Implementierungen. Mit den Lockdown-Patches im Hauptzweig kann die Technik aber vereinheitlicht werden.

Vor rund eineinhalb Jahren sorgte eine Revision der Patches noch für deutliche Kritik von Seiten einiger Entwickler. Hauptkritikpunkt war damals die Verknüpfung der Funktion mit UEFI Secure Boot. Garrett hatte die Arbeit an den Patches übernommen, unter anderem, um auf die damals geäußerte Kritik einzugehen. Inzwischen ist der Kernel-Lockdown unabhängig von UEFI Secure Boot und darüber hinaus als sogenanntes Linux-Security-Modul (LSM) umgearbeitet worden.  (sg)


Verwandte Artikel:
Linux: Patches für Kernel-Lockdown in Testing-Zweig aufgenommen   
(13.08.2019, https://glm.io/143175 )
Linux: Kernel-Entwickler patzen bei einfachem Spectre-Fix   
(04.09.2019, https://glm.io/143628 )
Retpoline: Linux-Kernel soll besseren Spectre-Schutz bekommen   
(02.01.2019, https://glm.io/138448 )
Linux: Kernel-Lockdown-Patches kommen als Security-Modul   
(25.06.2019, https://glm.io/142134 )
Secure Boot: Patches für Kernel-Lockdown wiederbelebt   
(05.04.2019, https://glm.io/140492 )

© 1997–2020 Golem.de, https://www.golem.de/