Blokada jądra – nowość w Linuksie sprawi, że root przestanie być rootem

Maciej Olanicki, 30.09.2019 r.

Zaledwie dwa tygodnie temu miała miejsce premiera jądra Linux w wersji 5.3, a już całkiem sporo wiemy o nowościach w kolejnej wersji. Wiele wskazuje na to, że Linux 5.4 będzie dużym wydaniem obfitującym w ważne nowości. Na ich liście, obok między innymi implementacji obsługi systemu plików exFAT czy wstępnej kompatybilności ze zintegrowanymi grafikami Intel Tigerlake, właśnie pojawiła się kolejna ciekawa funkcja, tym razem związana z bezpieczeństwem.

Blokada jądra w Linuksie 5.4

Linus Torvalds oficjalnie zatwierdził, że w Linuksie pojawi się możliwość włączenia blokady jądra (tzw. kernel lockdown). Dyskusja na temat jej implementacji w kernelu trwa od lat, jednak to właśnie Torvalds był dotąd jej głównym przeciwnikiem. Jego opór został wreszcie przełamany i funkcja blokady będzie dostępna w Linuksie 5.4, ale domyślnie wyłączona. Przyjrzymy się bliżej oferowanym przez nią możliwościom.

Kernel lockdown to po prostu mechanizm ograniczający możliwości ingerencji w przestrzeń jądra użytkownikom, nawet jeśli mają oni przyznane uprawnienia roota. Wiele dystrybucji (np. RHEL czy Ubuntu) dostarczało własne modyfikacje, które nawet rootowi nie pozwalały na podejmowanie niektórych działań – przede wszystkim takich, które mogłyby posłużyć na wykonanie dowolnego kodu dostarczonego z przestrzeni użytkownika.

Tryb integralności i poufności

Ponadto blokada jądra często blokuje dostęp do niektórych portów, uniemożliwia zapis i odczyt w lokalizacjach /dev/mem and /dev/kmem, czy wymusza podpisywanie jądra. Blokada jest włączana we wczesnej fazie bootowania, jednak na gruncie Linuksa 5.4 trzeba ją będzie najpierw włączyć na żądanie. Na razie nie ma mowy o tym, by domyślne ustawienia pozwalały na jakiekolwiek ograniczenia możliwości roota.

Blokada w Linuksie będzie dostępna w dwóch trybach: trybie integralności i poufności. W pierwszym ścisłe ograniczona zostanie możliwość modyfikowania jądra będącego w użyciu. Tryb poufności z kolei ma uniemożliwić użytkownikowi zdobywanie poufnych danych z przestrzeni jądra. Niewykluczone, że z czasem na tej bazie powstaną kolejne polityki, niemniej samą jądro oferować będzie natywnie na razie dwa podstawowe typy blokady.

Ze szczegółową listą ograniczeń, jakie będzie można wprowadzić po włączeniu blokady jądra, zapoznać można się w dokumentacji sporządzonej przez Matthew Garretta i Stephen Rothwella. Premiery Linuksa 5.4 możemy spodziewać się najwcześniej na przełomie października i listopada.