James Morris, der für das Security-Subsystem des Linux-Kernels zuständige Maintainer, hat die Patches für den Kernel-Lockdown zur Aufnahme in den Hauptzweig von Linux vorgeschlagen. Wenn diese nun vom Chef-Entwickler Linus Torvald umgesetzt werden, würden sie Teil der kommenden Linux-Version 5.4 werden, die Mitte November erscheinen sollte.

Die Linux-Entwicklercommunity diskutiert schon seit ungefähr sieben Jahren über eine derartige Technik. Die Patches sollen es ermöglichen, dass Angreifer den laufenden Kernel nicht dauerhaft verändert können. Dafür wird der Zugriff auf bestimmte Kernel-Schnittstellen schlicht verhindert, teilweise wird dabei sogar der Root-Nutzer (UID-0) vom laufenden Kernel mit seinen Systemberechtigungen (Ring-0) getrennt.

Die Patches sorgten vor eineinhalb Jahren für deutliche Kritik an der Verknüpfung der Funktion mit UEFI Secure Boot. Matthew Garrett hatte die Arbeit an den Patches übernommen, inzwischen ist der Kernel-Lockdown unabhängig von UEFI Secure Boot: Es ist als sogenanntes Linux-Security-Modul (LSM) umgearbeitet worden.

(tl, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE