O Kernel Linux é o coração do sistema operacional e opera em um ambiente conhecido como “espaço do kernel”. Ele está isolado das atividades do usuário no “espaço do usuário”, estabelecendo uma barreira de segurança que impede danos acidentais ou maliciosos a arquivos essenciais do sistema.
O Lockdown Mode é um recurso de segurança que protege o kernel contra modificações não autorizadas, preservando sua integridade e segurança, prevenindo que se explore vulnerabilidades e possibilite ataques maliciosos que comprometam o kernel.
Ao reduzir a superfície de ataque ao núcleo do sistema, limita as capacidades dos aplicativos no espaço do usuário, sendo indicado para ambientes sensíveis e críticos, como servidores, sistemas embarcados e dispositivos com dados confidenciais:
-
impedindo a execução de código não autorizado - restringe o carregamento de módulos não assinados, garantindo que somente código confiável seja executado.
-
Protegendo a memória do kernel - impede que aplicativos, mesmo aqueles com privilégios de root, acessem a memória do kernel, reduzindo riscos como injeção de código do kernel e exfiltração de dados.
-
melhorando a inicialização segura - oferece suporte ao secure boot, garantindo que o kernel permaneça seguro da inicialização ao desligamento, evitando modificações pós-inicialização.
Como funciona
O lockdown mode impõe três níveis de bloqueio. Em “none”, nenhuma restrição é aplicada. Em “integrity”, impede modificações que comprometam a integridade do kernel, como acesso ao diretório /dev/mem. No nível “confidentiality”, aumenta ainda mais as retrições e bloqueia recursos que vazem a memória do kernel, como “kexec” e hibernação.
Para ativá-lo, abra o arquivo de configuração do grub e acrescente uma das duas opções abaixo:
GRUB_CMDLINE_LINUX=“lockdown=integrity”
ou
GRUB_CMDLINE_LINUX=“lockdown=confidentiality”
Depois atualize o grub como root, usando o conhecido “update-grub”. Você pode ver se o lockdown mode está ativo com o comando:
cat /sys/kernel/security/lockdown
Fonte: links no texto