In arrivo Lockdown, nuova feature di sicurezza per il Kernel 5.4

0

Questo sabato Linus Torvalds ha approvato definitivamente una nuova feature di sicurezza per il Kernel Linux, chiamata Lockdown, di cui avevamo già parlato lo scorso anno proprio su queste pagine.

Si tratta di uno strato di sicurezza che limita (tra le altre cose) l’accesso a feature del kernel che potrebbero permettere l’esecuzione “arbitraria” di codice proveniente dai processi utente. Maggiori dettagli qui.

Nonostante l’iniziale e accesa riluttanza, è proprio di Torvalds il sigillo di approvazione finale, seppur con due fondamentali differenze:

  • Il meccanismo di Lockdown è separato dai sistemi di secure boot;
  • L’implementazione come modulo LSM (Linux Security Module) non è attiva di default;

La feature sarà presente già dalla versione 5.4 del Kernel (Novembre 2019 circa), nonostante la proposta dei meccanismi sia stata avanzata già nei primi mesi del 2010(!) dall’ingegnere di Google Matthew Garret. La finalità è quella di evitare eccessiva interazione da parte dei processi utente (root compreso) con il Kernel della macchina. L’idea è quindi quella di “limitare i danni” in caso di manomissioni.

Due le modalità previste per il modulo:

“If set to integrity, kernel features that allow userland to modify the running kernel are disabled. If set to confidentiality, kernel features that allow userland to extract confidential information from the kernel are also disabled.”

Se configurato su ‘integrity’, venogno limitate le funzionalità del kernel che permettono ai processi userland di modificare il kernel in esecuzione. Se configurato su ‘confidentiality’, vengono disabilitate anche le funzionalità del kernel che permettono ai processi userland di estrarre informazioni ‘confidenziali’ dal kernel in esecuzione

La notizia sembra essere stata accolta positivamente dalla community e ci aspettiamo il medesimo entusiasmo da parte dell’industria, che in passato aveva già reagito a questa mancanza con apposite implementazioni dedicate.

A circa dieci anni quindi dall’inizio della discussione, la feature è disponibile per tutti, ora non rimane che renderla utile e produttiva. Buon lavoro!

Amministratore di sistema “umile ma onesto”. Inciampato in Linux per caso, è stato l’inizio di una storia d’amore bellissima.