ویژگی جدید lockdown در کرنل Linux

دسته بندی ها : اخبار ۱۴ مهر ۱۳۹۸ فایزه اشرفیان اشرفیان 11 بازدید

ماژول lockdown در کرنل جدید Linux برای محدود کردن کاربران high-privileged ، حتی کاربر root ، از مداخله ی برخی عملکردهای هسته می باشد.

پس از سالها بررسی ها ، بحث ها و بازنویسی های کد بی شمار ، Linus Torvalds روز شنبه ویژگی امنیتی جدیدی را برای کرنل لینوکس به نام lockdown تأیید کرد.

ویژگی جدید به عنوان LSM (ماژول امنیتی لینوکس) در شاخه ی ۵.۴ کرنل لینوکس به زودی منتشر می شود که در آن به صورت پیش فرض غیرفعال خواهد بود؛ و استفاده از آن، به دلیل احتمال بهم خوردن تنظیمات سیستم های موجود، اختیاری است.

محدود ساختن اکانت root

کارکرد اولیه ی این ویژگی جدید، تقویت شکاف بین پردازش های کاربر و کد کرنل به منظور جلوگیری از حساب  root از تعامل با کد کرنل (کاری که تا به امروز قادر به انجام آن بوده است) می باشد.

در صورت فعال شدن، ویژگی جدید lockdown برخی عملکرد های کرنل حتی برای کاربر root را محدود خواهد کرد و برای حسابهای هک شده ی root تعامل با بقیه ی سیستم عامل را سخت تر خواهد کرد.

Matthew Garrett ، مهندس گوگل که سال ها قبل این ویژگی را مطرح کرده بود، گفت : ماژول lockdown به این منظور تعیین شده است که به کرنل ها اجازه دهد تا سریعا در فرایند بوت شدن، locked down شوند.

Linus Torvalds ، خالق کرنل لینوکس و کسی که روز گذشته مهر تأیید نهایی را در ماژول قرار داده است، گفت: هنگامی که این ویژگی فعال شود، بخشهای مختلف عملکرد کرنل محدود می شوند.

این شامل محدود کردن دسترسی به ویژگی های کرنل است که ممکن است امکان اجرای کد دلخواه را از طریق کد تهیه شده توسط فرآیندهای کاربر فراهم کند؛ مسدود کردن فرآیندهای نوشتن یا خواندن از حافظه  dev/mem/ و  dev/kmem/ ؛ جلوگیری از دسترسی بازکردن /dev/port برای جلوگیری از دسترسی پورت؛  برقراری اsignatureهای ماژول های کرنلی و خیلی از موارد دیگر.

The lockdown modes

ماژول جدید از دو مد lockdown پشتیبانی می کند، یعنی “یکپارچکی” و “محرمانه بودن”. هر یک منحصر به فرد است و دسترسی به عملکردهای مختلف کرنل را محدود می کند.

Torvalds گفت : اگر روی یکپارچگی تنظیم شود ، ویژگی های کرنل به کاربر کاربر اجازه تغییر کرنل در حال اجرا را میدهند، غیر فعال شده است.

در صورت تنظیم محرمانه بودن، ویژگی های کرنل که به کاربر امکان استخراج اطلاعات محرمانه ازکرنل را می دهند، غیر فعال شده اند.

در صورت لزوم ، حالت های lockdown اضافی نیز می توانند در بالا اضافه شود، اما این کار نیازمند یک وصله ی خارجی، برروی lockdown LSM می باشد.

A long time coming

کار روی ویژگی lockdown کرنل در اوایل سال ۲۰۱۰ آغاز شد و توسط مهندس اکنون گوگل ، Matthew Garrett هدایت شد.

ایده اصلی ویژگی lockdown کرنل ایجاد مکانیسم امنیتی برای جلوگیری از استفاده کاربران با مجوزهای بالا ، حتی حساب  root از مداخله در کد کرنل بود.

در این زمان، حتی اگر سیستم های لینوکس از مکانیزم های بوت ایمن استفاده می کردند، هنوز راه هایی وجود داشت که بدافزارها می توانستند از درایورها، حساب های root و حساب های کاربری با امتیازات ویژه بالا برای خرابکاری کد های کرنل استفاده کنند و با این کار، پایداری بوت و یک جای پای ثابت در سیستم های آلوده به دست آورند.

بسیاری از کارشناسان امنیتی در طی سالیان خواسته اند که کرنل لینوکس از یک روش قدرتمند تر برای محدود کردن حساب  کرنل و بهبود امنیت کرنل پشتیبانی کند.

مخالفت اصلی از طرف Torvalds صورت گرفت که یکی از سرسخت ترین منتقدین این ویژگی به ویژه در روزهای ابتدایی آن بود.

در نتیجه، بسیاری از توزیع های لینوکس، مانند Red Hat ، بخشهایی از کرنل لینوکس خود را توسعه دادند که یک ویژگی  lockdown را برروی کرنل اصلی اضافه کردند. با این حال ، دو طرف در سال ۲۰۱۸ به یک حد وسط رسیدند و کار روی ویژگی lockdown امسال توسعه یافت.

Torvalds دیروز گفت : اکثر توزیع های اصلی سالهاست که انواع این مجموعه وصله ها را داشته اند، و ما را به عدم نیاز به patch های خارجی نزدیک می کند.

برنامه هایی که به دسترسی سطح پایین به سخت افزار یا کرنل متکی هستند ممکن است در نتیجه کی فعال شدن این ویژگی، متوقف شوند، بنابراین این امر نباید قبل از ارزیابی مناسب فعال شود.

خبر مبنی بر اینکه یک ماژول lockdown کرنل در نهایت تصویب شده است ، در لینوکس و جوامع امنیت سایبری با استقبال مثبت روبرو شده است.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

لینک کوتاه :

عضویت در خبرنامه ویژه مشتریان سیگما پلاس

با عضویت در خبرنامه ویژه سیگما پلاس از آخرین جشنواره های سایت باخبر شوید!