Ubunlog Pablinux  

Lockdown, próxima función de Linux 5.4 que aumentará nuestra seguridad

LockdownCuando hablamos de Linux, lo primero que les viene a la cabeza a muchos es el terminal, pero también la seguridad. Aunque no existe el sistema operativo perfecto, la manera en la que gestionan los permisos los sistemas operativos del pingüino hace que sea difícil explotar las vulnerabilidades. Pero todo puede mejorar, seguridad incluida, y Linux 5.4 incluirá un nuevo módulo de seguridad que han llamado Lockdown.

Linus Torvalds aprobó la función el sábado pasado, después de que estuviera en debate durante varios años. El módulo llegará en Linux 5.4, la versión del kernel que está ahora en recibiendo solicitudes de funciones, pero lo hará desactivada por defecto. Será un LSM (Linux Securiry Module o módulo de seguridad de Linux) y la decisión de no activarlo de manera predeterminada se ha tomado porque los cambios podrían hacer que el sistema operativo no funcionara correctamente.

Lockdown llegará desactivado por defecto en Linux 5.4

La principal función de Lockdown será fortalecer la división entre los procesos del usuario y el código del kernel evitando que incluso una cuenta de administrador interactúe con el código del núcleo de Linux, algo que hasta ahora se puede hacer. El nuevo LSM restringirá algunas funciones del núcleo, lo que evitará que las cuentas root comprometan el resto del sistema operativo. Entre otras cosas, Lockdown restringirá el acceso a funciones del kernel que permiten la ejecución arbitraria de código proporcionado por los procesos userland, bloqueará procesos para que no puedan leer/escribir en las memorias /dev/mem y /dev/kmem y el acceso para abrir /dev/port.

Habrá dos modos de Lockdown: “integridad” y “confidencialidad”, cada uno es único y restringe el acceso a diferentes funcionalidades del kernel:

Si está configurado en integridad, las funciones del kernel que permiten que userland modifique el kernel está deshabilitada. Si está configurado en confidencialidad, las funciones del kernel que permiten que userland extraiga información del kernel también está desactivada.

Este es un paso importante en el camino de hacer Linux aún más seguro, uno que ha estado debatiéndose desde 2010. Probablemente, a partir de abril de 2020 publiquemos menos noticias relacionadas con fallos de seguridad corregidos por Canonical gracias a una función que estará disponible a partir de diciembre.

Artículo relacionado:
SWAPGS Attack, un “nuevo Spectre” que afecta a procesadores Intel

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.