Lockdown, seguridad que evitara que eches a perder el sistema

/ October 2, 2019
No es el trabajo de UNIX detenerte si te disparas en el pie. Si decides hacerlo, entonces es el trabajo de UNIX llevar al Sr. Bala hasta el Sr. Pie de la manera mas eficiente que conozca.

No es el trabajo de UNIX detenerte si te disparas en el pie. Si decides hacerlo, entonces es el trabajo de UNIX llevar al Sr. Bala hasta el Sr. Pie de la manera mas eficiente que conozca.

Porque los desarrolladores del kernel linux saben que la vas a cajetear, porque saben que siempre encuentras una forma de echar a perder tu sistema, por eso se han inventado esto.

No, la verdad es que es una medida de seguridad para que aplicaciones malintencionadas no puedan modificar el Kernel u otras partes del sistema operativo.

Esto ya ha sido implementado en otro sistema tipo Unix en el pasado, recordemos que en 2015 con el lanzamiento de macOS El Capitan se implementó el System Integrity Protection, o mejor dicho el modo “rootless” con el mismo propósito.

A muchos este movimiento no les cayó bien puesto que tenían módulos no oficiales dentro del sistema y este cambio los echó a perder, pero significa que una vez instalado el sistema operativo otro programa no puede modificarlo.

La idea de Lockdown en el Kernel Linux no es nueva tampoco, Mathew Garrett ya lo había propuesto con anterioridad pero Linus Torvalds había rechazado la propuesta argumentando que LockDown depende de SecureBoot (UEFI) y que hay diferentes plataformas que no implementan UEFI ademas SecureBook podría terminar alterando el comportamiento de procesos o componentes del Kernel.

Después de mucho estira y afloja Lockdown será incluido en el Kernel Linux 5.4, pero para lograr esto algunas de las ideas originales han tenido que eliminarse, por ejemplo, LockDown no depende de UEFI y estará desactivada por defecto y tendrá dos niveles de funcionamiento:

  • Integrity (Integridad): Modificar el kernel en ejecución estarán deshabitadas.
  • Confidentiality (Confidencialidad): Ademas de Integrity, las funciones de usuario que permiten obtener información confidencial del Kernel estarán desactivadas.

Esta característica ha sido implementada por terceros, Red Hat lo hace al distribuir un kernel modificado que impide su modificación, otras distribuciones también lo hacen, por lo que tiene sentido tenerlo dentro del Kernel Standard, al final es una característica que si se usa.

Lockdown es el nuevo módulo de seguridad que permitirá bloquear partes de Linux 5.4 a los usaurios, incluido root, tras años de discusión.

Source: Lockdown es el nuevo módulo de seguridad que permitirá bloquear partes del kernel » MuyLinux

 1,702 total views,  2 views today

Related posts

Leave a Reply