Kernel Lockdown特性将尝试登陆Linux 5.4
Kernel Lockdown特性将尝试登陆Linux 5.4
经过40多轮修订和审核后,Linux内核“LOCKDOWN”功能可能最终进入Linux 5.4主线内核。
虽然Linus Torvalds尚未采取行动,Linux 5.4合并窗口将在下周开放,但James Morris已经提交了pull request,介绍Linux 5.4的内核lockdown模式。
kernel lockdown支持先前已从主线拒绝,但此后它已与EFI安全启动代码分离,并作为Linux安全模块(LSM)实现,以解决之前对代码的一些担忧。此模块的设计也有其他改进。
Linux Lockdown代码是关于限制对可能修改正在运行的内核映像的底层硬件和位的访问。当处于可选锁定模式时,限制访问CPU机器特定寄存器,禁用休眠,触发硬件设置的内核模块参数被阻止,甚至不允许作为root写入/dev/mem,以及各种其他限制。
这种可选模式确实很难锁定系统,但只是选择加入,旨在与UEFI安全启动或其他具有安全意识的环境配对。
我们将在接下来的几天看到kernel lockdown代码被Linux 5.4主线接受。鉴于所做的改进以及大多数一级Linux发行版以某种形式提供“lockdown”支持,它确实很有可能最终满足主线树。
linuxboy的RSS地址:https://www.linuxboy.net/rssFeed.aspx
本文永久更新链接地址:https://www.linuxboy.net/Linux/2019-09/160644.htm
评论暂时关闭