A Fedora közösség új változtatási javaslatot vitat, amely a rendszer alapértelmezett biztonsági beállításait hivatott megerősíteni. A kezdeményezés három kernelparaméter – a ptrace_scope, a kptr_restrict és a bpf_jit_harden – alapértelmezett engedélyezését célozza, valamint egy olyan csomag eltávolítását, amely eddig véletlenül kikapcsolta az egyik védelmi réteget. A javaslat mögött az a felismerés áll, hogy a Fedora felhasználói sokszor telepítenek ismeretlen forrásból származó programokat vagy drivereket, amelyek nem mindig követik a biztonsági bevált gyakorlatokat. A kernelben azonban régóta elérhetők olyan eszközök, amelyek képesek mérsékelni az ilyen kockázatokat, így ezek alapértelmezett bekapcsolása megelőző védelmet nyújthat.
Tartalomjegyzék
Három kulcsfontosságú beállítás és egy csomag eltávolítása
A változtatás értelmében a kernel.yama.ptrace_scope, a kernel.kptr_restrict és a net.core.bpf_jit_harden paraméterek kerülnek alapértelmezetten bekapcsolásra. A ptrace_scope funkciója, hogy megakadályozza a rosszindulatú folyamatokat abban, hogy más futó programokhoz csatlakozzanak és átvegyék felettük az irányítást. A kptr_restrict a kernel címszimbólumaihoz való hozzáférést korlátozza, ezzel nehezítve a kernel exploitok kihasználását. A bpf_jit_harden célja a BPF just-in-time fordítóval kapcsolatos támadások mérséklése. A Fedora esetében a ptrace_scope eddig le volt tiltva az elfutils-default-yama-scope csomag miatt, amely véletlenül vált alapértelmezetté. A javaslat része ennek a csomagnak az elavulttá tétele és teljes eltávolítása, hogy a beállítás megbízhatóan aktív maradjon minden telepítésben és frissítésben.
Várható hatások és hatásuk a felhasználói élményre
A változtatások elsődleges célja a biztonság fokozása, így a legtöbb felhasználó számára nem jár érzékelhető teljesítmény- vagy energiafogyasztási hatással. A bpf_jit_harden esetében elméletileg előfordulhat kisebb teljesítménycsökkenés, de a javaslat készítője szerint a mindennapi feladatok során nem volt kimutatható különbség. A ptrace_scope bekapcsolása ugyanakkor érintheti azokat a fejlesztőket, akik alacsony szintű hibakeresési eszközöket, például a gdb-t vagy a strace-et használják. Számukra a Fedora dokumentáció nyújt majd útmutatót arról, hogyan lehet ezt a beállítást átmenetileg vagy tartósan kikapcsolni. A kezdeményezés tehát egyszerre növeli az átlagfelhasználók számára a biztonságos munkamenethez, és biztosítja, hogy a haladó fejlesztők számára megmaradjon a rugalmasság a szükséges eszközök használatához.
