Portada
Hace 4 años | Por --525300-- a genbeta.com
Publicado hace 4 años por --525300-- a genbeta.com
Linux: el kernel tendrá nueva función de seguridad para restringir las cuenta root

Linux: el kernel tendrá nueva función de seguridad para restringir las cuenta root

 genbeta.com

Hace años que la comunidad de ciberseguridad venía pidiendo este cambio y Linus Torvalds finalmente le ha dado su sello de aprobación

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 4k 42

Comentarios

D

A día de hoy muchas distribuciones activan el lockdown si activas el secureboot. Ubuntu es una de ellas. Con Alt + SysRq + X desactivas el lockdown cuando lo necesites. Por ejemplo, al usar SystemTap.

V 5
K 55
frankiegth
editado

Parece un tema delicado :

'...Aunque la comunidad de ciberseguridad había estado pidiendo este cambio por años, Torvalds era uno de sus principales opositores, hoy advierte que las aplicaciones que dependen de acceso de bajo nivel al hardware o al kernel podrían dejar de funcionar como resultado de activar 'Lockdown', y que por lo tanto no debería ser habilitado sin la correcta evaluación previa...'

V 6
K 52
xkill

#1 metería presión a Nvidia y otros fabricantes a hacer OpenSource parte de sus controladores. Si quieres ejecutar código en la máquina que nadie sabe que es, allá tu, desactiva esta mejora de seguridad. En realidad, si ejecutas algo que no sabes que es, estas igualmente vendido.

V 3
K 41
x

#7 no tiene nada que ver con eso. NVidia no te va a meter un bicho para minar mientras navegas. El bicho te lo vas a meter tú solito cuando navegas con un usuario root porque así te da menos problemas como si estuvieras en XP. O te lo va a meter porque pille alguna de las muchas veces que metes tu contraseña de usuario a lo largo del día en esos sistemas que tienen el sudo configurado para ser root con la contraseña de usuario; metes la contraseña para-lo-que-sea, la captura, prueba a ver si funciona en el sudo y.... los malos ya son root. Pues con esto podrá cambiarte el DNS o ponerte algo en el arranque, pero no manosear el kernel.

V 2
K 24
xkill

#19 no. Pero Nvidia puede meter , y de hecho ya lo hace, código no standard del kernel el cual no pasa los rigurosos controles del kernel de Linux por lo que puede estar sujeta a vulnerabilidades que den acceso root a "bichos".
Por cierto, para minar no hace falta ser root.

V 0
K 10
D

#23 #19 Chavales, hace años que los "bichos" se meten en el hardware, precisamente para no tener que lidiar con las actualizaciones de kernel. Cata, que te estás haciendo viejuno! ;-D

V 0
K 7
anv

#24 Pero a no ser que venga de fábrica en el hardware, para meterse necesitan pasar por el kernel.

V 0
K 7
xkill

#24 #23 No se muy a bajo nivel como va a funcionar lockdown, pero me imagino que será un firmado forzado del kernel (cosa que ya existe pero no va activada por defecto), de esta manera se evita que drivers no firmados se puedan cargar. Asi que adios a los drivers propietarios o fuera del kernel (a no ser que los firmes tu a mano con un certificado, por lo que, pongo la mano en el fuego, a que el 90% de la gente que haga esto, tendrá la clave privada alojada en el ordenador que corre el kernel, permitiendo así, siendo root, poder firmar modulos y cargarlos sin problema).

Por otro lado esta el tema de la "confidencialidad" que evitaría que desde el espacio de usuario se pueda acceder a la memoria del kernel: me da a mi que con esto los drivers propietarios de nvidia no se van a poder gestionar desde el espacio de usuario (aun siendo root), lo que evitaría poder usar el gestor de configuraciones de nvidia).

Igual que digo "nvidia" digo drivers externos al kernel o aplicaciones que corren en espacio de usuario con acceso directo al hardware, como por ejemplo los lectores de huellas dactilares, y no sé hasta que medida los controles de frecuencia de CPU, ...

Volviendo al tema de los "bichos": si se cuelan en el hardware, o bien están explotando una vulnerabilidad de los drivers o bien se meten en el sistema de arranque (llamalo BIOS, UEFI, o como quieras). Si no permites que desde el espacio de usuario se pueda leer ni escribir en el sistema de arranque o en el firmware de los dispositivos (para lograr ejecución via Hardware), pues se soluciona el problema este.

@dowa : si no voy bien, a ver si arreglas mi comentario

V 0
K 10
anv

#23 A ver. Lockdown no va a ayudar ni a evitar esto. Lockdown lo que haría, si lo activas, es evitar que una vez arrancado el sistema otros programas carguen módulos en el kernel.

Para un usuario normal esto puede ser molesto. Porque si te da por pinchar un dispositivo USB nuevo no podrás cargar el módulo y tendrás que reiniciar para que funcione. Pero para servidores puede ser un extra de seguridad interesante.

V 1
K 10
C

La moda Android de evitar el root llegará a Linux. Pero es por nuestro bien.

V 3
K 43
Yosemite

#2 no, no es ni parecido;
"aplicaciones que dependen de acceso de bajo nivel al hardware o al kernel"
Pocas apps usan acceso de bajo nivel al hardware (usan el API) ni al kernel

V 11
K 105
a
editado

#2 no es evitar el root en el sentido de que no puedas tener acceso total si lo necesitas, pero ciertamente hace falta algo intermedio que cubra el 99.999% de casos en los que root es necesario sin darle acceso total al hardware.

En un mundo en el que para cualquier cosa hace falta estar tirando de sudo, es necesaria una mayor limitación. Es una pasada lo que puede llegar a hacer un programa malicioso al ejecutarse con uid=0. Se puede saltar todas las protecciones del kernel, leer memoria comprometida, inyectar firmware, etc. cuando la mayor parte del tiempo solo quieres escribir en una carpeta del sistema.

Hace falta un superroot.

V 7
K 67
J

#5 ¿Qué es una "carpeta" del sistema ?

V 0
K 6
n

#6 /usr /etc /bin /sbin son directorios donde usualmente sólo root podrán escribir. A veces sólo quieres hacer una ñapa en uno de estos directorios y necesitas ser root para escribir en ellos o hacerlo con sudo.

Para este tipo de operaciónes, reiniciar servicios, o simplemente matar procesos no te hace falta acceso al hardware o al propio kernel.

V 3
K 37
J

#9 Ops... Creo que el sentido de mi comentario no lo he explicado bien...

V 1
K 9
A

#11 ¿Te refieres a que deberíamos llamarlos "directorios"? La verdad es que la palabra "carpeta" siempre me ha parecido un infantilismo absurdo de los windowseros. Pero ya al final te acostumbras, por que si no, los casuals no te entienden cuando les explicas algo.

V 2
K 21
j

#12 Para alguien que empezó en la informática con 12 o 13 años con ms-dos lo de los directorios, lo tengo muy marcado ya en el ADN, por que si no recuerdo mal, así se llamaba, directorios. Luego pasé por windows 95, 98, me, 2000, xp y zas a GNU/LINUX, es normal llamarle carpetas en modo gráfico, pero en el antiguo ms-dos y en el terminal linux, se me hace raro llamarle carpetas.

V 3
K 27
CortoCircuito
editado

#13 idem. Yo sigo resistiendo, me niego a llamarlas carpetas. 😂 👍

V 1
K 19
D

#13 Tan claro como la instrucción para listar el contenido de los mismos:

DIRectorio

V 3
K 27
R

#12 #13 lo de carpeta viene ya de la epoca de Mac Classic, no de Windows. Y no solo carpeta, sino que tenias la "Carpeta del sistema"

V 0
K 6
D

#13 Otro de esa epoca y que le pasa igual.

V 0
K 7
g
editado

#6 C:\Linux p.ej.

V 2
K 22
A

#5 pero si creas un superroot estamos en las mismas

V 1
K -4
XrV

#8 bueno, lo que haces es delegar al root a una segunda posición. Eso se debería poder hacer con un usuario semiroot sin tener que tocar el kernel. No entiendo porque Linus ha aceptado el cambio, supongo que harà la vida más facil a algunos.

V 0
K 7
x

#5 pues no uses sudo. Cuando quieras hacer algo como root, lógate como root y sal al terminar.

V 0
K 10
D

#20 ¿No se supone que eso es todavía más peligroso?

V 0
K 9
x
editado

#21 no si sales al terminar. Lo que es peligroso es administrar el ordenador con la misma contraseña con la que entras en la cuenta de usuario, quitas el salvapantallas, tal vez lees el correo... La contraseña de root es solo para administrar, y si un programa te la pide te tienes que mosquear. Pero para eso tienes que tener contraseña de root diferente a la que usas continuamente porque no eres root continuamente.

V 1
K 19
D

#22 gracias ¿Entonces es peor usar sudo?

V 0
K 9
x

#25 sí. Lo que importa no es el nombre del usuario, sino la contraseña, y con sudo usas la contraseña que usas para todo. Con "su -" usas una diferente que es solo para administrar.

V 1
K 19
D

#27 Pues ahora me has dejado descuadrado. Siempre pensé que sudo, además de poder darle el poder a un usuario para hacer administración, era más seguro que usar directamente a root. Gracias de nuevo.

V 0
K 9
x

#28 na. Además, en esto no todo el mundo piensa como yo. Los que descubrieron linux con Ubuntu prefieren el sudo, pero los de Ubuntu pusieron el sudo* para administrar para que el usuario novato no tuviera que pensar en cuándo es administrador y cuándo no.

* antes de eso se usaba para cosas muy concretas, como por ejemplo arrancar un servidor web de desarrollo en un puerto bajo el 1024 o cosas así. Muy acotadas.

V 2
K 22
D

#29 Yo aprendí con opencaldera, redhat 6 y luego mandrake. Ahora hace ya unos siete u ocho años que solo uso debian, pero igualmente no me había informado bien sobre sudo. Nunca me gustó nada que llevase el nombre *buntu

V 0
K 9
x

#30 yo parecido...

V 0
K 10
t

#29 Uhm... Tendría que hacer más memoria de la que puedo allocar, pero juraría que usaba sudo en Debian Potato, algunos años antes de probar un Ubuntu... de hecho mi memoria me dice que en más de un sitio, y hablo de libros, recomendaban sudo como método seguro para no olvidarte una sesión root abierta, o para no ejecutar sin querer un comando peligroso como root.

Pero ya te digo que no me fio de mi memoria, perfectamente podría estar mezclando épocas y la costumbre del sudo traerla desde algún Ubuntu...

V 0
K 10
U

#38 Tu memoria no te falla. sudo se ha usado desde siempre.

V 0
K 7
a

#20 no has entendido nada

V 0
K 6
anv

#2 Nada que ver. Esto se trata de evitar que se carguen módulos en el kernel después de que el sistema haya arrancado.
El root sigue existiendo para lo que se usa normalmente (instalar aplicaciones y configurar algunas cosas)

V 0
K 7
U

#2 Desgraciadamente, la forma Android de hacer las cosas (mucho más segura que la tradicional) todavía tardará tiempo en llegar a Ubuntu y otras distros.

Que un proceso tenga todos los privilegios es una Mala Idea. Además, es totalmente innecesario para el 99,9% de los usuarios. Incluso si eres del 0,1% restante (lo más probable es que no, aunque creas que sí), para que puedas hacer con tu aparato lo que quieras basta conque el bootloader (o su equivalente en un PC, el firmware UEFI) se pueda desbloquear. Desgraciadamente esto no se cumple en todos los aparatos Android, depende del fabricante, pero sí en los Nexus/Pixel de Google sí.

V 0
K 7
ctrl_alt_del
editado

Pues nada, [DOMINIO]Administrador...

V 0
K 13
D

Windows también restringe el acceso a ciertos archivos y carpetas que se pueden acceder desde Linux. ¿Tendremos que usar Windows para acceder los archivos restringidos de Linux?, ¿se podrá hacer desde otro Linux?

V 0
K 11
anv

#15 Si te refieres a quitar el disco duro y ponerlo en otro equipo, obviamente tendrás acceso a lo que haya grabado en ese disco.

Pero no es el caso. Simplemente se trata de impedir la carga de nuevos módulos en el núcleo del sistema después de que haya arrancado.

V 0
K 7
Candidatas
13
meneos
tecnología Amazon Prime Vídeo te estafa. Que no te tomen el pelo
9
meneos
tecnología La Mega Drive llega a España
12
meneos
tecnología Arranca el ejercicio internacional de ciberdefensa 'Locked Shields 2024' con la participación de 200 españoles
6
meneos
tecnología Investigadores de HKU Engineering descubren la clave para lograr células solares orgánicas eficientes y estables (eng)
11
meneos
tecnología Siemens Gamesa planea instalar un aerogenerador de 21 MW, el más potente del mundo
23
meneos
tecnología Publicado el código fuente de DOS 4.0 (ENG)
44
meneos
tecnología Policía quiere eliminar la comunicación cifrada de extremo
16
meneos
tecnología Escándalo en la Industria Tecnológica: Super Micro acusada de vender GPUs prohibidas a China
19
meneos
tecnología EEUU lanza por sorpresa su primer misil hipersónico para cazas de combate
10
meneos
tecnología PROSOLAR BIRDS, El original invento desarrollado en España para proteger los paneles solares de los excrementos de los pájaros
9
meneos
tecnología Sólo hay que añadir agua: Crea tus propios muebles con estos diseños de esponjas emergentes (ENG)
9
meneos
tecnología ¿Internet está muerto?: la teoría conspirativa que podría volverse realidad en apenas unos años
11
meneos
tecnología Tecnoestrés, fatiga informática y el derecho a la desconexión digital en el ámbito laboral
8
meneos
tecnología TikTok: vender o cerrar
8
meneos
tecnología Black Basta, el principal sospechoso en el ciberataque a Ayesa
11
meneos
tecnología La fotovoltaica da el ‘sorpasso’ a los ciclos combinados: alcanza los 26.260 MW y se convierte en la segunda fuente tras la eólica
15
meneos
tecnología El proyecto Alia, el 'ChatGPT español' que entrena el Gobierno: "La calidad de las respuestas va a ser mucho mejor"
8
meneos
tecnología Los trucos de los hackers de Super Mario podrían proteger el software de errores, según un estudio (eng)
11
meneos
tecnología La razón por las que los usuarios de Android pronto van a tener siempre encendido el Bluetooth
csmNapster

Yo creía que el kernel Linux traía alguna función para esto, y más cuando los BSD ya tienen algo parecido desde hace décadas (securelevel).

V 0
K 6