Новые версии Linux получат функцию блокировки ядра от модификаций

Долгие годы линейка операционных систем Linux была известна как «свободное ПО» - пользователи могли беспрепятственно модифицировать любые компоненты ОС. Но вскоре такая практика перестанет быть повсеместной. После многочисленных обсуждений и правок кода знаменитый «отец Linux» Линус Торвальдс утвердил для ядра операционной системы функцию блокировки - она предотвращает внесение изменений в код даже при наличии root-привелегий.

Цель новой функции заключается в разделении пользовательских процессов и кода ядра, с которым не сможет взаимодействовать даже пользователь с root-доступом. Это, по мнению разработчиков, поможет «усилить» механизмы безопасной загрузки и предотвратить заражение системы, используя учетную запись с повышенными правами.

«Модуль блокировки предназначен для того, чтобы ядро могло быть заблокировано на ранних стадиях процесса загрузки», - отметил инженер Google Мэтью Гарретт, предложивший эту функцию несколько лет назад.

Новый модуль будет поддерживать два режима блокировки: «целостность» и «конфиденциальность». Каждый из них ограничивает доступ к различным функциям ядра. Разработчики также смогут установить дополнительные ограничения на модификацию ядра и дистрибутива с помощью специальных патчей.

Несмотря на раннюю критику такого механизма, Линус Торвальдс в итоге утвердил появление данного модуля для повышения безопасности ОС. Он отметил, что подобные решения уже давно использовались в различных дистрибутивах, поэтому имеет смысл избавиться от сторонних патчей с помощью приведения всех сборок к единому стандарту. Соответствующий модуль безопасности (LSM) появится в релизной версии ядра Linux 5.4.