• <ruby id="bi9vj"><b id="bi9vj"></b></ruby>

        <b id="bi9vj"></b>

        Linux 內核將引入安全鎖定功能

        xplanet
         xplanet
        發布于 2019年10月01日
        收藏 14

        經過多年以來的無數次審查、討論和代碼重寫,Linus Torvalds 通過了一項 Linux 內核新的安全功能,它被稱為“鎖定”(lockdown)。

        這項新功能將作為 LSM(Linux Security Module,Linux 安全模塊)包含在即將發布的 Linux kernel 5.4 中。由于存在破壞現有系統的風險,因此該功能是可選的,并非默認開啟。

        這一新的鎖定功能主要是為了防止 root 帳戶篡改內核代碼,從而在用戶態進程和代碼之間劃清界限。啟用該功能后,即便是 root 帳戶也無法訪問某些內核功能,從而保護操作系統免受受損的 root 帳戶影響。

        Linus Torvalds 表示,啟用鎖定模塊后,各種內核功能都會受到限制。其中包括對內核功能的訪問限制;對 /dev/mem 的讀寫操作的阻止;對 CPU MSR 訪問的限制;以及防止系統進入睡眠狀態等等。

        鎖定功能支持兩種不同模式,可用于激活不同級別的限制。“完整性”(integrity)模式將禁止用戶修改正在運行的內核功能。另一種“機密性”(confidentiality)模式則會禁止用戶從內核中提取機密信息。

        內核鎖定功能的研究始于 2010 年代初期,由現在的 Google 工程師 Matthew Garrett 牽頭。該功能背后的想法是創建一種安全機制,以防止具有特權的用戶(甚至是“root”帳戶)篡改內核的代碼。

        在那個時候,即使 Linux 系統采用了安全啟動機制,惡意軟件仍然可以通過濫用具有特殊提升特權的驅動程序和 root 帳戶等來篡改內核代碼。多年以來,許多安全專家一直在要求 Linux 內核支持一種更有效的方式來限制 root 帳戶,并提高內核安全性。

        最初提出該功能時,Linus Torvalds 本人是最大的反對者之一,他對此提出了不少批評。結果,許多 Linux 發行版開發了自己的 Linux 內核補丁,這些補丁在主線內核之上都添加了鎖定功能。直到 2018 年,支持派和反對派才逐漸達成中間立場,關于鎖定功能的工作也終于在今年取得了新的進展。

        新功能獲得批準后,也在 Linux 和網絡安全社區受到了廣泛歡迎。詳情可查看公告:

        https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=aefcf2f4b58155d27340ba5f9ddbe9513da8286d

        消息來源:ZDNet

        本站文章除注明轉載外,均為本站原創或編譯。歡迎任何形式的轉載,但請務必注明出處,尊重他人勞動共創開源社區。
        轉載請注明:文章轉載自 OSCHINA 社區 [http://www.url23.com]
        本文標題:Linux 內核將引入安全鎖定功能
        加載中

        精彩評論

        hach
        hach
        什么時候能完善下內核級的異步IO API?難道只能一直epoll?
        kppom
        kppom
        Linus:真香~!
        dwingo
        dwingo
        距離天網系統又邁進一大步, 很快電腦的行為就真的只有電腦說的算了.
        開源中國首席羅納爾多
        開源中國首席羅納爾多
        您好,請問linux內核原來的有安全機制的嗎?怎么設計的?
        dwingo
        dwingo
        epoll的性能都不滿意,那到底是什么需求會這么極端?

        最新評論(10

        冰鎮陽的光
        冰鎮陽的光
        Linux:我自己我做主
        dwingo
        dwingo
        距離天網系統又邁進一大步, 很快電腦的行為就真的只有電腦說的算了.
        h
        heike07
        哈哈 默默問一句 有多少是關閉selinux 在使用linux呢
        kppom
        kppom
        Linus:真香~!
        hach
        hach
        什么時候能完善下內核級的異步IO API?難道只能一直epoll?
        燃燒的時光
        燃燒的時光
        呵呵
        c
        crystalsis
        Linux那伙人是肯定看不上IOCP那種類型的
        calvinwilliams
        calvinwilliams
        呼聲高了自然會馬上優化的
        dwingo
        dwingo
        epoll的性能都不滿意,那到底是什么需求會這么極端?
        開源中國首席羅納爾多
        開源中國首席羅納爾多
        您好,請問linux內核原來的有安全機制的嗎?怎么設計的?
        返回頂部
        頂部
        聚看影院