Linus Torvalds อนุมัติเตรียมปล่อยฟีเจอร์ ‘Lockdown’ Kernel ใน Linux แล้ว

เมื่อสุดสัปดาห์ที่ผ่านมามีรายงานว่า Linus Torvalds ได้อนุมัติฟีเจอร์ด้านความมั่นคงปลอดภัย ‘Lockdown’ ที่เป็นการป้องกันระดับ Kernel เรียบร้อยแล้ว โดยคาดว่าจะอยู่ใน LSM (Linux Security Module) ที่มาใน Linux Kernel เวอร์ชัน 5.4 แต่จะปิดไว้โดย Default

Lockdown เป็นฟีเจอร์ด้านความมั่นคงปลอดภัยที่ออกแบบมาให้ป้องกัน User Process และ Kernel แม้กระทั่งจากบัญชี Root เองไม่ให้เข้าไปปฏิสัมพันธ์กับโค้ดระดับ Kernel โดยไอเดียก็คือ Lockdown จะไปจำกัดฟังก์ชันระดับ Kernel บางอย่างซึ่งอาจนำไปสู่การลอบรันโค้ดจากระดับ User ได้ เช่น บล็อกโปรเซสไม่ให้เขียน/อ่านที่ /dev/mem และ /dev/kmem หรือบล็อกการเข้าถึงที่ /dev/port เพื่อป้องกันการเข้าถึง Raw port ผู้สนใจสามารถติดตามเพิ่มเติมได้ที่นี่

ทั้งนี้เบื้องต้น Lockdown จะมี 2 โหมดคือ ‘integrity’ และ ‘confidentiality’ โดยโหมดแรก Tovalds กล่าวว่า “ถ้าใช้งาน Integrity จะถูกปิดฟีเจอร์ระดับ Kernel ที่อนุญาต Userland เข้าไปแก้ไข Running Kernel” ในขณะที่โหมดหลัง “โหมด Confidentiality คือการปิดฟีเจอร์ที่ทำให้ userland สามารถ Extract ข้อมูลสำคัญออกมาจาก Kernel

เป็นเวลาเนิ่นนานมากหลังจาก Matthew Garrett จาก Google ได้พยายามผลักดันฟีเจอร์นี้ราวปี 2010 ทั้งนี้ก็เพื่อเพิ่มระดับความมั่นคงปลอดภัยไม่ให้ทำการยกระดับสิทธิ์แม้กระทั่งบัญชีระดับ Root ต้องการแก้ไขโค้ดระดับ Kernel จนกระทั่งวันนี้ Tovalds จึงได้ตัดสินใจรับลูกต่อหลังจากพิจารณามายาวนาน ซึ่งในบาง Linux Distro ทางผู้พัฒนาก็ได้มีการประยุกต์ใช้ไปก่อนหน้าแล้วแต่การประกาศอย่างทางการของ Tovalds นั้นจะทำให้กระบวนการกลายเป็นทางการนั่นเอง อย่างไรก็ดี Tovalds เองก็ชี้ว่าให้ “ผู้ใช้งานต้องระมัดระวังการเปิดใช้ที่อาจกระทบต่อแอปพลิเคชันที่ต้องยุ่งเกี่ยวกับ Low-level Access

ที่มา :  https://www.zdnet.com/article/linux-to-get-kernel-lockdown-feature/ , https://www.techtalkthai.com/tovalds-has-approved-kernel-lockdown-feature/?fbclid=IwAR3vAZt2YK41Q3AGrw5lY4ojND5kS4hl2XIifrWQoMkcrHx0cRtnWGfiQSY

Comments are closed.