Une fonctionnalité Lockdown arrive dans le noyau Linux

Par:
fredericmazue

mar, 01/10/2019 - 13:50

Après des années de discussions autour de ce sujet, Linus Torvalds, qui était son plus farouche opposant, a finalement validé l'introduction d'une fonctionnalité Lockdown dans le noyau Linux.

Cette fonctionnalité Lockdown définit une frontière entre le noyau Linux et l'utilisateur UID 0, c'est à dire l'utilisateur root. Le but est d'empêcher un compte root compromis de mettre à mal le système, ou encore de faire échouer des exécutions de code arbitraire.

La fonctionnalité Lockdown pourra restreindre notamment les allocations de mémoire kmalloc, l'hibernation du système, les opérations de lecture/écriture sur /dev/mem et /devf/kmem, l'accès à /dev/port, l'accès au processeur...

Lockdown proposera deux modes. Le mode 'Intégrité' qui empêchera la modification d'un noyau en cours d'exécution, et le mode 'Confidentialité' qui empêchera l'extraction d'informations 'confidentielles' du noyau.

La fonctionnalité Lockdown arrivera dans le noyau Linux 5.4 et sera désactivée par défaut afin de ne pas casser le fonctionnement de systèmes existants.