Разработчики Linux добавили в операционную систему модуль изоляции ядра, который исключает доступ к ключевым частям кода на пользовательском уровне. Дискуссии о необходимости подобной функции велись несколько лет, а создатели основных сборок ОС успели самостоятельно реализовать аналогичные подсистемы в своих продуктах.

Изоляция была необходима, чтобы исключить выполнение стороннего кода в среде ядра пользовательским процессом, даже если последний обладает root-привилегиями. Новый компонент, помимо прочего, запрещает:

  • прямое обращение к портам устройства;
  • изменение подписей модулей ядра;
  • доступ к процессам записи и чтения памяти;
  • загрузку образов ядра через запросы вида kexec_file.

Разработчики предусмотрели два варианта работы модуля изоляции. Режим Integrity блокирует для пользователя с любыми правами возможность вносить изменения в запущенное ядро ОС. Протокол Confidentiality активируется дополнительно и предусматривает запрет на извлечение из ядра любой конфиденциальной информации. По словам авторов Linux, сторонние разработчики смогут внедрять дополнительные настройки изоляции для своих сборок операционной системы.

Новый плагин Linux может повлиять на работу системных программ

Модуль намерены реализовать как LSM (Linux Security Module) в будущем выпуске ядра Linux 5.4. По умолчанию он будет отключен, чтобы не повлиять на работоспособность системных программ, имеющих низкоуровневый доступ к ядру. Разработчики рекомендуют владельцам систем провести аудит процессов, которые могут быть затронуты при активации нового компонента.

С предложением добавить функцию изоляции ядра еще в начале текущей декады выступил Мэтью Гаррет (Matthew Garrett), ныне работающий в Google. Создатель Linux Линус Торвальдс (Linus Torvalds) долгое время выступал против подобного усовершенствования, однако в прошлом году стороны достигли взаимопонимания и приступили к разработке.

В январе прошлого года ИБ-специалисты обнаружили в Linux четыре уязвимости, которые могут позволить злоумышленнику получить root-привилегии на целевой машине. Баги затронули несколько сборок операционной системы, не использовавших защиту пользовательского пространства.

Категории: Главное, Кибероборона