بعد از مدت‌ها بحث و مجادله، بالاخره امروز لینوس توروالدز، خالق لینوکس، از قابلیت امنیتی جدیدی به نام lockdown برای هسته لینوکس خبر داد.

این قابلیت امنیتی که به زودی در کرنل 5.4 لینوکس (کرنل لینوکسی که در آینده نزدیک منتشر خواهد شد) و به عنوان یک ماژول امنیتی لینوکس (Linux Security Module) عرضه خواهد شد، کرنل لینوکس را امن‌تر کرده و دستکاری‌های غیرمجاز را هم سخت خواهد کرد.

البته فراموش نکنید که به صورت پیش فرض، قابلیت Lockdown غیرفعال خواهد بود و استفاده از آن هم به صورت دلخواه است. در واقع لینوکس به این صورت قصد دارد که ریسک از کار افتادن سیستم‌ها را پایین بیاورد. با فیسیت همراه باشید تا هر آنچه درباره این قابلیت لازم است بدانید را با شما مطرح کنیم.

قابلیت Lockdown در لینوکس چیست؟

این قابلیت جدید در اصل به صورت قدرتمند فرآیندها و کدهای کرنل را از هم جدا می‌کند و این کار را با استفاده از محدود کردن هر گونه ارتباط و تعامل بین اکانت‌های روت و کد کرنل انجام می‌دهد.

به گفته لینوس توروالدز، زمانی که قابلیت Lockdown را فعال کنید، برخی از عملکردهای کرنل، حتی برای کاربران روت هم محدود می‌شود. بنابراین به خطر انداختن سیستم عامل، حتی با وجود در خطر بودن اکانت روت، باز هم سخت خواهد بود.

متیو گارت، یکی از مهندسان گوگل که سال‌ها پیش قابلیت lockdown را مطرح کرده بود، درباره این قابلیت چنین توضیح داده است:

ماژول Lockdown به کرنل امکان می‌دهد که به سرعت در فرآیند بوت، قفل شود.

قابلیت Lockdown لینوکس چه محدودیت‌هایی ایجاد می‌کند؟

به واسطه Lockdown، کاربردها و قابلیت‌هایی از کرنل که باعث اجرای کدهای دلخواه، آن هم از سمت فضای کاربر می‌شود، مسدود می‌شوند. از جمله این محدودیت‌ها می‌توانیم به موارد زیر اشاره کنیم:

مسدود کردن فرآیندها از خواندن و نوشتن در مسیر dev/mem and /dev/kmem/

• محدودیت دسترسی برای باز کردن /dev/port
• جلوگیری از دسترسی به پورت خام
• اجرای امضای ماژول‌های هسته
• و...

زیر ماژول‌های Lockdown و ویژگی هر یک

ماژول جدید Lockdown، خود از دو ماژول دیگر به نام‌های integrity و confidentiality تشکیل شده است که هر یک محدودیت‌های متفاوتی را بر روی کرنل اعمال می‌کنند. محدودیت‌هایی که هر یک اعمال می‌کنند به صورت زیر است:

• Integrity: قابلیت‌های کرنل که به فضای کاربری اجازه دستکاری آن را می‌دهند غیر فعال می‌شوند.
• confidentiality: می‌توان قابلیت‌های کرنل که امکان استخراج اطلاعات محرمانه فضای کاربری را فراهم می‌کنند را غیر فعال کرد.

البته امکان اضافه کردن گزینه‌های دیگری به LockDown هم هست اما برای اعمال این تغییرات، به اضافه کردن وصله‌های خارجی نیاز دارید.

روند ایجاد قابلیت Lockdown

کار روی این قابلیت که تقریباً از سال 2010 آغاز شد، خواسته بسیاری از مهندسان امنیتی بوده است. ضمناً باید به این موضوع هم اشاره کنیم که از مدتی قبل برخی از توزیع‌های لینوکس از جمله ردهت (RedHat)، وصله کرنل مخصوص به خودشان را توسعه داده‌اند که از قابلیت Lockdown لینوکس هم بهره می‌برند. با این وجود امسال تلاش‌های لینوکس و توزیع‌های مختلف آن هم سو شد تا به این ترتیب قابلیت Lockdown به شکل کاربردی و یکپارچه در بیاید.

اخبار مرتبط:

کرنل لینوکس چیست؟ چطور می‎توانیم نسخه‎ی کرنل خود را چک کنیم؟

لینوس توروالدز به لینوکس بازگشت

ما را در شبکه‌های اجتماعی مختلف تلگرام، روبیکا، توییتر، اینستاگرام همراهی کنید.