Linuxにカーネル「ロックダウン」セキュリティ機能追加へ

Catalin Cimpanu (Special to ZDNET.com) 翻訳校正: 編集部

2019-10-01 13:59

 Linuxカーネルに「ロックダウン」という新たなセキュリティ機構が追加されるようだ。何年にも及ぶ無数のレビューや議論、コードの書き直しの末に、Linus Torvalds氏によって米国時間9月28日にようやく承認された。

Linux

 この新たな機構は間もなくリリースされる「Linuxカーネル5.4ブランチ」における「Linux Security Module」(LSM)として投入され、デフォルトでは無効化される予定となっている。利用がオプショナルとなる理由は、既存システムが動作しなくなるリスクがあるためだ。

 同機構が担う主な機能は、ユーザーランドのプロセスとカーネルコードの分離を強化するために、今までであれば設計上可能であったrootアカウントによるカーネルコードとのやり取りにすら制限を加えるというものだ。

 新たな「ロックダウン」機構を有効化した場合、rootユーザーであったとしても一部のカーネル機能の使用に制限が加えられるため、攻撃者の手に落ちたrootアカウントからも、OSに対するさらなる影響を与えることが難しくなる。

 Googleのエンジニアであり、数年前にこの機構を提案したMatthew Garrett氏は5月に、「このロックダウンモジュールは、ブート(プロセス)の初期段階でカーネルをロックダウンできるようにするのが目的だ」と述べていた。

 このモジュールを最終的に承認した、Linuxカーネルの生みの親であるTorvalds氏は、「有効化された場合、カーネル機能のさまざまな部分に制限が加えられる」と述べている。

 こういった制限には、ユーザーランドのプロセスによって供給されたコードを経由して任意のコードの実行を許す可能性のあるカーネル機構へのアクセスに制約を加えたり、/dev/memや/dev/kmemといったメモリー領域に対する書き込み/読み込みプロセスをブロックしたり、カーネルモジュールの署名を強制するといった、数多くのものが含まれている。

 このモジュールでは、「integrity」(整合性)と「confidentiality」(機密性)という2種類のロックダウンモードがサポートされる。それぞれは固有のものであり、異なるカーネル機能に対するアクセスを制限するようになっている。

 カーネルのロックダウン機構への取り組みは2010年代の初頭に着手され、現在GoogleのエンジニアであるGarrett氏によって推進された。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  5. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]