AbcLinuxu:/ Zprávičky / Linux 3.7 nabídne podepisování modulů

Štítky: distribuce, kernel, Linux, modul, Red Hat

Linux 3.7 nabídne podepisování modulů

Linux 3.7 bude podporovat podepisování jaderných modulů. Při vynucování podpisu nebude možné načíst modul, který není podepsán pomocí klíče umístěného v jádře. Tato bezpečnostní funkce je z dílny Red Hatu.

17.10.2012 12:52 | Luboš Doležel (Doli) | Zajímavý software

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (1) ? , Tisk

Vložit další komentář

17.10.2012 14:04 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Odpovědět | Sbalit | Link | Blokovat | Admin

Wow .... a jeste integrace s UEFI Secure Boot a je vymalovano!

A former Red Hat freeloader.

17.10.2012 15:08 TPBFan
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

\dev\ka skoncila :-D

17.10.2012 17:18 lyon
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

A ty zpetny lomitka maji bejt co?

17.10.2012 21:32 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Cesta, ne? Jsi nikdy neviděl terminál?

C:\>

17.10.2012 21:35 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Fuj

Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.

17.10.2012 17:52 mrv
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

a bude podporovat == bude vynucovat? to dost pochybuju...stejne jako to, ze to nepujde, minimalne pri kompilaci, vypnout. ale katastrofickym scenarum se meze nekladou, wtz!

17.10.2012 21:36 Michal Fecko | skóre: 31 | blog: Poznámkový blog
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

*facepalm*

17.10.2012 18:23 Rezza | skóre: 25 | blog: rezza | Brno
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

No to je samozrejme cilem ;-)

Nebo spis duvod podepisovani.

17.10.2012 15:30 Xóža Hňabaj | skóre: 15 | blog: popcorp | Brno
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Odpovědět | Sbalit | Link | Blokovat | Admin

Zajímavé. Jak se ale zabrání rootovi, aby nějak patchnul běžící kernel přes /dev/(k)mem a zpřístupnil si tak loadování kteréhokoliv modulu?

Jednaokový biu

17.10.2012 15:39 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

CONFIG_STRICT_DEVMEM=y
# CONFIG_DEVKMEM is not set

17.10.2012 17:08 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Na toto su rozne metody avsak na kompletnu vymenu kernelu+reboot uz nie :)

17.10.2012 21:26 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Ale co když root nemůže zapisovat do konfigurace bootloaderu ani přepsat kernel na disku?

18.10.2012 08:27 j
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Jednak by me zajimalo, jak mu v necem takovym zabranis, druhak si muze nekam uplne jinam dat jinej kernel a jinej bootloader ...

18.10.2012 08:54 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

pán ještě neviděl selinux v plné parádě?

oVirt | SPICE

18.10.2012 09:14 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Tak v tom pripade nepotrebujes ani podpisovat moduly, nie? :)

18.10.2012 10:37 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Potřebuješ všechno, pokud to má být bezpečné. Každá věc sama o sobě řeší jen to, co má pod palcem.

oVirt | SPICE

18.10.2012 14:05 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Ten, kto to s bezpecnostou mysli vazne, pouziva monoliticke jadro. Funkcia je sice zaujimava ale nerozumiem, pre koho je urcena (mozno pre nejake embedded zariadenia).

18.10.2012 20:00 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Ten, kto to s bezpecnostou mysli vazne, pouziva monoliticke jadro.

Ale no tak… proč by linuxové distribuce, kde si nemusíš stavět vlastní jádro, nemohly být bezpečné?

18.10.2012 23:38 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Pretoze potom nevies, kto ti do kernelu co napchal a zrejme sa to uz ani nikdy nedozvies. Ak sa utocnikovi podari natlacit kod priamo do kernelu, tak si proste nahraty.

19.10.2012 00:07 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Když si kompiluješ jádro vlastní, tak to víš?

18.10.2012 20:00 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Jednak by me zajimalo, jak mu v necem takovym zabranis

Prostě nejde zapsat do prvních 100 MB /dev/sda nebo do flash čipu, ve kterém je jádro.

druhak si muze nekam uplne jinam dat jinej kernel a jinej bootloader

Jak?

17.10.2012 18:16 Johny
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Odpovědět | Sbalit | Link | Blokovat | Admin

Můžete roota varovat. Můžete mu něco doporučit, či nedoporučit. Ale vynucovat něco na rootovi prostě nepůjde... :D

17.10.2012 18:37 h0nzZik | blog: Osel a stín
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Proc by to neslo? Z pohledu jadra neni problem napriklad vytvorit soubor, do kteryho root nezapise, ani kdyz mu nastavi opravneni k zapisu (vyzkouseno).

17.10.2012 19:27 Johny
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Kdyz tam ale root opravdu chce zapsat, tak proste upravi jadro, rebootne a zapisuje jakoby nic.

17.10.2012 19:38 l4m4
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Ve skutečnosti root upraví jádro, rebootne a tím skončí, protože bootloader odmítne upravené jádro natáhnout.

17.10.2012 19:40 Michal Fecko | skóre: 31 | blog: Poznámkový blog
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

To je predsa blbost...

17.10.2012 20:34 l4m4
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Proč?

17.10.2012 19:54 mmad
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

A následuje reklamace dodavateli sestavy či rovnou chip tuning.

17.10.2012 21:29 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Ale já ten backdoor instaluju do vozítka na Marsu díky nové suprové díře v openssh, která způsobila, že náhodné prvočíslo je vždy 29. Takže do toho nemůžu hrábnout pájkou.

17.10.2012 21:32 Michal Fecko | skóre: 31 | blog: Poznámkový blog
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Poslu tam zachrannu misiu a k tebe specialnu jednotku :-D

17.10.2012 22:58 l4m4
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

To je jedině dobře. Hrabat do prvočísla 29 pájkou. Ts, ts.

17.10.2012 18:50 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Odpovědět | Sbalit | Link | Blokovat | Admin

Ještě chybí nějaký texťák, který by vysvětlil k čemu je to vlastně dobré. Já to nikdy moc nepochopil ani u Widlí. Takže k čemu je to vlastně dobré?

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

17.10.2012 20:03 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

K tomu, aby ti nefungovaly xtables-addons. :-D

17.10.2012 21:31 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Aby ti nikdo nemohl [vzdáleně] nainstalovat nedetekovatelný backdoor.

Aby mohla trochu lépe fungovat řešení jako Qubes OS.

17.10.2012 21:34 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Aby ti nikdo nemohl [vzdáleně] nainstalovat nedetekovatelný backdoor.

Tak nedostane právo zavádět moduly, ne?

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

18.10.2012 03:25 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Lokální exploit na roota?

18.10.2012 07:08 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

I rootovi lze zakázat zavádět moduly (třeba zavedením speciálního modulu, který zakáže zavádění dalších modulů). Ale tady se asi řeší situace, kdy moduly zavádět chceš, ale jenom ty ověřené.

18.10.2012 20:09 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Ale tady se asi řeší situace, kdy moduly zavádět chceš, ale jenom ty ověřené.

A on se dá udělat univerzální binární modul, který stačí stáhnout a zavést na libovolném jádře? Tohle má smysl ve Widlích, ale pro Linuxové jádro mi právě ten smysl uniká.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

18.10.2012 20:57 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Příloha:

00000016.jpg (39143 bytů)

V Linuxu je ovladač pro Univerzální odpalovač ICBM země-země Tesla Raketron T06 a též ovladač pro stolní urychlovač částic Tesla W6-06. Já mám jenom ten urychlovač (ve skutečnosti ho má kamarád, ale to je teď vedlejší), ale distribuce může dodávat zkompilované moduly i pro ten odpalovač. Distribuce to tak dneska dělají. Stačí tak udělat modprobe icbm, což je operace jen na pár minut.

Kompilace monolitického jádra pouze s danými ovladači nepřipadá na mém počítači Intel 80386SX v úvahu, protože má load 0.95 z ovládání urychlovače, navíc nevím, jestli nezačne jaderná válka a nebudu muset přes noc začít používat i ten odpalovač (ovladač pro odpalovač se přes noc zkompilovat nestihne, jeho kompilace trvá asi 3 dny).

17.10.2012 19:34 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Podepsané moduly existují již dlouho

Odpovědět | Sbalit | Link | Blokovat | Admin

Možná se jedná o první verzi, která tuto funkcionalitu obsahuje, ale jako patch existuje již od roku 2004.

18.10.2012 13:57 Pavel Stárek | skóre: 43 | blog: Tady bloguju já :-) | Kolín
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Odpovědět | Sbalit | Link | Blokovat | Admin

A jak se bude řešit kompilace a zavedení vlastních modulů na takto zamčeném jádře? Nebo součástí Makefile jádra bude nějaké make signed_module ?

Kdo chce, hledá způsob; kdo nechce, hledá důvod.

18.10.2012 14:12 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Skor tak, ze si jadro budes musiet sam prekompilovat a v ramci tohto sa ti vygeneruje sukromny+verejny kluc. Tie mozes neskor pouzit na podpis modulov.

18.10.2012 20:02 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Nevím, jak se bude řešit tady konkrétně, ale mohla by se řešit třeba tak, že by se fingerprint předával jako parametr jádra.

19.10.2012 10:41 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Tak v UEFI Secure boot jsou na to uzivatelske klice, kterym si ten modul podepises.
A jak uz bylo zmineno, toto je jen jeden dilek v UEFI Secure boot ;)

I can only show you the door. You're the one that has to walk through it.

26.10.2012 16:34 Pavel Stárek | skóre: 43 | blog: Tady bloguju já :-) | Kolín
Rozbalit Rozbalit vše Re: Linux 3.7 nabídne podepisování modulů

Takže pokud to nepůjde vypnout, bude to nejspíš jen opruz.

Kdo chce, hledá způsob; kdo nechce, hledá důvod.

Založit nové vlákno • Nahoru