Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Модуль изоляции заблокирует запуск стороннего кода в рамках ядра, а также запретит прямой доступ к портам.
Разработчики Linux добавили в операционную систему модуль изоляции ядра, который исключает доступ к ключевым частям кода на пользовательском уровне. Дискуссии о необходимости подобной функции велись несколько лет, а создатели основных сборок ОС успели самостоятельно реализовать аналогичные подсистемы в своих продуктах.
Изоляция была необходима, чтобы исключить выполнение стороннего кода в среде ядра пользовательским процессом, даже если последний обладает root-привилегиями. Новый компонент, помимо прочего, запрещает:
Разработчики предусмотрели два варианта работы модуля изоляции. Режим Integrity блокирует для пользователя с любыми правами возможность вносить изменения в запущенное ядро ОС. Протокол Confidentiality активируется дополнительно и предусматривает запрет на извлечение из ядра любой конфиденциальной информации. По словам авторов Linux, сторонние разработчики смогут внедрять дополнительные настройки изоляции для своих сборок операционной системы.
Модуль намерены реализовать как LSM (Linux Security Module) в будущем выпуске ядра Linux 5.4. По умолчанию он будет отключен, чтобы не повлиять на работоспособность системных программ, имеющих низкоуровневый доступ к ядру. Разработчики рекомендуют владельцам систем провести аудит процессов, которые могут быть затронуты при активации нового компонента.
С предложением добавить функцию изоляции ядра еще в начале текущей декады выступил Мэтью Гаррет (Matthew Garrett), ныне работающий в Google. Создатель Linux Линус Торвальдс (Linus Torvalds) долгое время выступал против подобного усовершенствования, однако в прошлом году стороны достигли взаимопонимания и приступили к разработке.
В январе прошлого года ИБ-специалисты обнаружили в Linux четыре уязвимости, которые могут позволить злоумышленнику получить root-привилегии на целевой машине. Баги затронули несколько сборок операционной системы, не использовавших защиту пользовательского пространства.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |