限制Root权限,Linux内核将引入安全锁定功能

最新推荐文章于 2023-10-09 15:20:20 发布
最新推荐文章于 2023-10-09 15:20:20 发布
阅读量420 收藏
点赞数

点击蓝色字体“肉眼品世界”,关注公众号

深度价值体系传递

来源:开源中国

经过多年以来的无数次审查、讨论和代码重写,Linus Torvalds 通过了一项 Linux 内核新的安全功能,它被称为“锁定”(lockdown)。

这项新功能将作为 LSM(Linux Security Module,Linux 安全模块)包含在即将发布的 Linux kernel 5.4 中。由于存在破坏现有系统的风险,因此该功能是可选的,并非默认开启。

这一新的锁定功能主要是为了防止 root 帐户篡改内核代码,从而在用户态进程和代码之间划清界限。启用该功能后,即便是 root 帐户也无法访问某些内核功能,从而保护操作系统免受受损的 root 帐户影响。

Linus Torvalds 表示,启用锁定模块后,各种内核功能都会受到限制。其中包括对内核功能的访问限制;对 /dev/mem 的读写操作的阻止;对 CPU MSR 访问的限制;以及防止系统进入睡眠状态等等。

锁定功能支持两种不同模式,可用于激活不同级别的限制。“完整性”(integrity)模式将禁止用户修改正在运行的内核功能。另一种“机密性”(confidentiality)模式则会禁止用户从内核中提取机密信息。

640?wx_fmt=png

内核锁定功能的研究始于 2010 年代初期,由现在的 Google 工程师 Matthew Garrett 牵头。该功能背后的想法是创建一种安全机制,以防止具有特权的用户(甚至是“root”帐户)篡改内核的代码。

在那个时候,即使 Linux 系统采用了安全启动机制,恶意软件仍然可以通过滥用具有特殊提升特权的驱动程序和 root 帐户等来篡改内核代码。多年以来,许多安全专家一直在要求 Linux 内核支持一种更有效的方式来限制 root 帐户,并提高内核安全性。

最初提出该功能时,Linus Torvalds 本人是最大的反对者之一,他对此提出了不少批评。结果,许多 Linux 发行版开发了自己的 Linux 内核补丁,这些补丁在主线内核之上都添加了锁定功能。直到 2018 年,支持派和反对派才逐渐达成中间立场,关于锁定功能的工作也终于在今年取得了新的进展。

新功能获得批准后,目前也在 Linux 和网络安全社区受到了广泛欢迎。

Linux内核版本详解:从技术到实践的深度剖析
寒水馨
10-01 1810
本文深入探讨了Linux内核的版本演进历程,详细分析了各个主要版本的性、改进和影响。从早期的0.01版本到最新的5.x系列,我们将追溯Linux内核的发展脉络,解析版本号命名规则的变迁,并重点关注对系统性能、安全性和功能性的持续优化。文章还将探讨内核版本选择对企业IT基础设施的影响,以及如何在实际生产环境中进行内核升级和维护。通过本文,读者将全面了解Linux内核版本的技术细节和实践价值,为系统管理和优化提供有力支持。
Kernel lockdown is enabled and set to ‘confidentiality‘.
遇见你是我最美丽的意外
10-30 825
Kernel lockdown is enabled and set to 'confidentiality'. Lockdown mode blocks parts of BPF which makes it impossible for bpftrace to function. Please see https://github.com/iovisor/bpftrace/blob/master/INSTALL.md#disable-lockdown for more details on lockdo
LWN: 配置lockdown security module
Linux News搬运工
07-04 806
点击上方蓝色字关注我们~Lockdown as a security moduleByJonathan CorbetJune 24, 2019像UEFI secure ...
linux实时补丁发布周期,Linux Lockdown补丁已经达到了第40次修订
weixin_42466331的博客
05-14 240
长时间运行的Linux Lockdown布丁突然发布,这是他们第40次发布这样的补丁,但是这些面向安全的补丁是否会被用于即将推出的Linux 5.4周期还有待观察。Linux Lockdown功能用于通过阻止对/dev/mem的写入,限制PCI BAR和CPU MSR访问,禁用系统休眠支持,限制Tracefs,限制或完全禁用其他可能更改硬件状态或运行Linux内核映像的功能限制内核和底层硬件的...
利用Linux内核的多个安全漏洞获得root权限
weixin_34295316的博客
12-11 157
系统安全高手 Dan Rosenberg 发布了一段 C 程序,这段200多行的程序利用了 Linux Econet 协议的3个安全漏洞,可以导致本地帐号对系统进行拒绝服务或权提升,也就是说一个普通用户可以通过运行这段程序后轻松获得 root shell,以下在 update 过的 Ubuntu 10.04 Server LTS 上测试通过: $ sudo apt-get...
Linux下普通用户使用强制位获取root权限
Shad0wpf的博客
12-11 829
查找存在强制位的文件 find / -perm -4000 2>/dev/null | xargs s -la 脚本编译 编写一个C脚本,内容如下: int main(void) { setuid(0); setgid(0); system("/bin/bash"); } 使用gcc编译 gcc getuid.c -o setuid #32位(报错时 apt install g...
教员-Linux网关及安全应.docx
02-20
7. 文件系统安全Linux 系统可以使用 chattr 命令锁定文件的 i 节点,以保护文件不被修改。 8. 文件访问权限:chmod 命令可以设置文件的访问权限。例如,chmod 444 file 将文件 file 的访问权限设置为只读。 9. ...
Linux内核问题定位术】:一步步教你精确锁定VFS_Cannot_open_root_device问题
Linux内核问题定位是维护系统稳定性的关键环节,本文首先概述了内核问题定位的重要性及方法。随后,深入理解虚拟文件系统(VFS),分析其架构和关键组件,以及VFS操作如何保证文件系统一致性。通过具体案例,本文...
漫谈 | 从52个思考题来看《Linux内核设计的艺术》
机器学习
01-14 4312
1.为什么开始启动计算机的时候,执行的是BIOS代码而不是操作系统自身的代码?(P1) 答:加电的一瞬间,计算机内存中,准确的说是RAM中,中空空如也,什么程序也没有。软盘里虽然有操作系统程序,但CPU的逻辑电路被设计为只能运行内存中的程序,没有能力直接从软盘运行操作系统。这就需要硬件主动加载0xffff0处的BIOS程序,由BIOS准备好中断向量表、中断服务程序,接着通过中断“int 0x19...
Linux内核与进程:权限管理深度解析】
![Linux Bash:./xxx:无法执行二进制文件报错]... ...# 1. Linux内核与进程概述 Linux操作系统以其强大而灵活的内核闻名,内核是操作系统的核心部分,负责管理
为什么android不能root,我的安卓手机为什么不能ROOT
weixin_30269739的博客
05-28 470
对于安卓手机用户来说,不管是不是发烧友,在使用手机的过程中都难会遇到需要通过ROOT手机来完成的事。所谓ROOT,其实就是获取手机根目录的权限,Android系统的ROOT可以解释为开放根目录权限(最高管理员权限),同苹果iOS的越狱差不多是一个意思。很多用户之所以要ROOT,是因为Android系统有着很高的开放性,手机厂商总会在手机出厂时将很多应用植入在系统之中,并设置相应的高级权限,而用户...
Linux Kernel 5.4 正式版发布:原生支持 exFAT,引入内核锁定功能,AMD 或成最大赢家!...
easylife206的专栏
11-30 1867
大神 Linus Torvalds 于近日宣布了 Linux Kernel 5.4 正式版。作为一个重要版本更新,不仅更新了驱动程序以提供更好的硬件支持、增强了安全性,还引入了很多新的功...
Linux 安全 - LSM机制
小立仔
10-09 3198
Linux 安全 - LSM机制简介
Linux kernel 命令行参数二
哦,原来你也在这里。
03-10 2905
memblock=debug [KNL] Enable memblock debug messages. load_ramdisk= [RAM] [Deprecated] lockd.nlm_grace_period=P [NFS] Assign grace period. Format: <integer> lockd.nlm_tcpport=N [NFS] Assign T...
linux 操作系统root账号被锁定的两种解决方法
weixin_46246967的博客
10-20 8723
linux 操作系统root账号被锁定的两种解决方法
linux 账户锁与解锁
11-09 1026
1,sudo passwd -l user锁住user帐号,su 已经不能切换到user下。2,sudo passwd -u user解锁user帐号,su可以切换到user下。3,如果不小心把root锁住了,可以通过下面的指令...
linux如何设置root权限,linux设置root权限的方法
weixin_29612623的博客
04-29 1万+
linux设置root权限的方法发布时间:2020-07-02 15:44:33来源:亿速云阅读:88作者:Leah本篇文章给大家分享的是有关linux设置root权限的方法,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。1、打开Linux系统控制台,当提示权限不足时输入:sudo passwd root,按回车键。如下图:2、提示需要...
Linux锁定和解锁用户
weixin_33754913的博客
11-28 2150
1、禁止个别用户登录。比如禁止lynn用户登录。 passwd -l test 这就话的意思是锁定test用户,这样该用户就不能登录了。 passwd -u test 对锁定的用户lynn进行解锁,用户可登录了。 2、我们通过修改/etc/passwd文件中用户登录的shell vi /etc/passwd test:x:500:500::/home/tes...
linux中禁用Root帐户的4种方法
热门推荐
qq_40907977的博客
10-11 1万+
介绍 root账号 是 Linux 和其他类 Unix 操作系统上的超级帐户。此帐户可以访问系统上的所有命令和文件,并具有完全读取、写入和执行权限。它用于在系统上执行任何类型的任务;create/update/access/delete其他用户的帐户,install/remove/upgrade软件包。 root用户拥有绝对权力,执行的任何操作都对系统至关重要。在这方面,任何错误由root用户可能对系统的正常运行产生巨大影响。此外,该帐户也可能因意外、恶意或人为无视规则而被不当或不当使用而被滥用。 因此,建
root密码重置时提示不在sudoers
最新发布
03-29
### 解决 Linux 中重置 root 密码时出现的 `not in sudoers` 文件错误 当尝试通过普通用户权限修改或访问敏感操作(如重置 root 用户密码)时,如果该用户未被授予管理员权限,则会收到类似于 `"xxx is not in the sudoers file. This incident will be reported"` 的提示。以下是针对此问题的具体解决方案。 #### 方法一:临时切换至 root 账户 可以通过 `su -` 命令切换到 root 用户账户来完成密码重置工作。这种方法无需依赖于当前用户的 `sudo` 权限[^5]。 ```bash su - ``` 输入 root 用户的密码后成功切换为超级用户角色,随后可以执行以下命令重置任意用户的密码: ```bash passwd username ``` #### 方法二:配置 Sudoers 文件以赋予定用户管理权限 对于希望继续使用现有普通用户身份并通过 `sudo` 执行权命令的情况,需调整 `/etc/sudoers` 配置文件的内容以便允许指定用户拥有必要的权限[^3]: 1. **增加写权限给 /etc/sudoers** 使用 chmod 修改其属性使得能够对其进行编辑: ```bash chmod u+w /etc/sudoers ``` 2. **编辑 sudoers 文件** 启动 vi 编辑器打开上述路径下的文档,在其中定位到默认定义部分即包含有 "root ALL=(ALL) ALL" 这样的条目位置处新增一行用于描述新授权对象的信息(假设目标用户名叫作 xxx): ```bash vi /etc/sudoers ``` 添加如下内容: ``` xxx ALL=(ALL) ALL ``` 3. **恢复原始只读状态并保存更改后的版本** 完成编辑之后记得重新锁定保护机制防止意外篡改: ```bash chmod u-w /etc/sudoers ``` 注意以上过程务必小心谨慎以引入语法错误造成整个系统的安全漏洞风险提升。 #### 方法三:利用单用户模式绕过验证流程 作为最后手段之一考虑采用引导进入单一维护模式的方式避开正常登录环节从而直接获取最高控制权来进行修复作业[^4]: - 重启计算机直到看到 GRUB 加载界面; - 选择合适的内核选项按下 'e' 键进行参数编辑; - 查找启动行(通常以 linux 或者 linux16 开头),在其结尾附加字符串 single 或 init=/bin/bash; - 按下 Ctrl + X 继续加载系统直至获得 shell 提示符; 此时已具备完全不受限制的操作能力可随意变更任何设定比如更新丢失掉的管理员口令等等... ### 总结 综上所述,面对因缺乏适当许可而导致无法顺利完成某些高级功能调用的情形之下,可以选择多种途径加以应对处理。无论是借助其他已经存在的高阶账号资源还是手动修正本地策略框架均能有效达成目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值