編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

Linuxにカーネル「ロックダウン」セキュリティ機能追加へ

Catalin Cimpanu (Special to ZDNet.com) 翻訳校正: 編集部

2019-10-01 13:59

 Linuxカーネルに「ロックダウン」という新たなセキュリティ機構が追加されるようだ。何年にも及ぶ無数のレビューや議論、コードの書き直しの末に、Linus Torvalds氏によって米国時間9月28日にようやく承認された。

Linux

 この新たな機構は間もなくリリースされる「Linuxカーネル5.4ブランチ」における「Linux Security Module」(LSM)として投入され、デフォルトでは無効化される予定となっている。利用がオプショナルとなる理由は、既存システムが動作しなくなるリスクがあるためだ。

 同機構が担う主な機能は、ユーザーランドのプロセスとカーネルコードの分離を強化するために、今までであれば設計上可能であったrootアカウントによるカーネルコードとのやり取りにすら制限を加えるというものだ。

 新たな「ロックダウン」機構を有効化した場合、rootユーザーであったとしても一部のカーネル機能の使用に制限が加えられるため、攻撃者の手に落ちたrootアカウントからも、OSに対するさらなる影響を与えることが難しくなる。

 Googleのエンジニアであり、数年前にこの機構を提案したMatthew Garrett氏は5月に、「このロックダウンモジュールは、ブート(プロセス)の初期段階でカーネルをロックダウンできるようにするのが目的だ」と述べていた。

 このモジュールを最終的に承認した、Linuxカーネルの生みの親であるTorvalds氏は、「有効化された場合、カーネル機能のさまざまな部分に制限が加えられる」と述べている。

 こういった制限には、ユーザーランドのプロセスによって供給されたコードを経由して任意のコードの実行を許す可能性のあるカーネル機構へのアクセスに制約を加えたり、/dev/memや/dev/kmemといったメモリー領域に対する書き込み/読み込みプロセスをブロックしたり、カーネルモジュールの署名を強制するといった、数多くのものが含まれている。

 このモジュールでは、「integrity」(整合性)と「confidentiality」(機密性)という2種類のロックダウンモードがサポートされる。それぞれは固有のものであり、異なるカーネル機能に対するアクセスを制限するようになっている。

 カーネルのロックダウン機構への取り組みは2010年代の初頭に着手され、現在GoogleのエンジニアであるGarrett氏によって推進された。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]