Kernel LinuxLinux

Segurança absoluta: Como o Kernel Linux 7.0-rc1 impede que processos escapem de seus limites

Novos hooks BPF LSM no Kernel Linux 7.0-rc1 elevam o isolamento de containers a um nível absoluto!

Escrito por
Emanuel Negromonte
PorEmanuel Negromonte
Emanuel Negromonte é Jornalista, Mestre em Tecnologia da Informação e atualmente cursa a segunda graduação em Engenharia de Software. Com 14 anos de experiência escrevendo sobre...
Seguir
eyYamjLW linux 7 0 bpf lsm sandboxing seguranca
  • O Kernel Linux 7.0-rc1 agora permite que o BPF LSM supervisione diretamente a criação e instalação de namespaces.
  • Um novo hook de cgroup impede que processos "escapem" de seus limites de controle, bloqueando migrações não autorizadas.
  • A iniciativa partiu de Christian Brauner para atender requisitos de segurança avançada do projeto systemd.
  • A mudança estrutural substitui rastreios de tracing instáveis por pontos de controle nativos e de alta performance no Kernel.
  • As funcionalidades estarão disponíveis na versão estável do Kernel Linux 7.0, prevista para abril de 2026.

Christian Brauner, um dos principais mantenedores das camadas de VFS e Namespaces, apresentou uma série de quatro patches para o Kernel Linux 7.0-rc1 que introduzem novos ganchos (hooks) de BPF LSM focados em segurança. A proposta atende a uma demanda antiga do projeto systemd para implementar “verdades universais” no sistema, permitindo que programas de monitoramento controlem de forma absoluta a criação de namespaces e a migração de processos entre grupos de controle (cgroups).

O que isso significa na prática

Imagine que você tem um serviço rodando em uma “caixa” isolada (um container). Hoje, é relativamente difícil para o sistema monitorar o exato momento em que essa caixa é descartada ou se o serviço tenta “pular” para uma caixa vizinha com mais privilégios.

Com os novos ganchos, o Kernel Linux 7.0-rc1 permite que o administrador instale um “guarda-costas digital” (um programa BPF) que vigia a porta. Se um processo tentar se anexar a um cgroup proibido ou criar um namespace não autorizado, o guarda-costas bloqueia a ação instantaneamente. Isso impede que serviços comprometidos “escapem” de suas restrições originais, elevando o nível de isolamento do sistema a um patamar muito mais rigoroso.

Este avanço reforça uma tendência que temos acompanhado de perto. Como vimos recentemente no SempreUpdate, o Kernel Linux 6.19 já havia introduzido filtros BPF para o subsistema io_uring, estabelecendo o BPF como a ferramenta definitiva para criar camadas de segurança granulares e leves em ambientes de containers.

Detalhes da implementação

A implementação adiciona ganchos específicos ao subsistema BPF LSM (Linux Security Module). O patch introduz três pontos de controle para o ciclo de vida de namespaces (alloc, free e install) e um gancho crucial para o subsistema de cgroups que supervisiona a anexação de tarefas.

A mudança impacta os arquivos centrais kernel/bpf/bpf_lsm.c e kernel/cgroup/cgroup.c. Ao contrário de soluções anteriores que dependiam de rastreios (tracing) complexos e custosos, esses novos hooks são integrados diretamente na lógica de decisão do Kernel Linux, reduzindo o overhead e aumentando a confiabilidade da aplicação de políticas de segurança.

FuncionalidadeImplementação AnteriorNova Implementação (Kernel 7.0-rc1)
Monitoramento de NamespacesHooks de tracing arcaicos e instáveisHooks nativos de BPF LSM (Alloc/Free/Install)
Migração de CgroupsPermissões de arquivo cgroup.procsVerificação programática via BPF no momento da anexação
Políticas de AcessoEstáticas e baseadas em UID/GIDDinâmicas e baseadas em “verdades universais” do BPF

Curiosidades e bastidores da discussão

A troca de e-mails na LKML revelou um debate interessante sobre a arquitetura do sistema. Tejun Heo, mantenedor do subsistema de cgroups, questionou se uma opção simples de montagem (mount option) para desativar migrações não seria suficiente. Brauner foi enfático ao dizer que isso seria “restritivo demais”, pois impediria gerenciadores de containers legítimos de organizar seus sub-processos.

Outro ponto de tensão veio de Matt Bobrowski, que questionou por que esses hooks eram exclusivos para BPF e não adicionados como hooks genéricos do LSM. Brauner explicou que a camada LSM exige que um módulo “em árvore” (como SELinux ou AppArmor) use o hook para justificá-lo, enquanto o BPF permite que o subsistema adicione suporte de forma independente, dando mais agilidade para ferramentas como o systemd implementarem suas políticas de sandbox.

Quando isso chega no meu PC?

Como os patches já estão na base do Kernel Linux 7.0-rc1, a funcionalidade deve ser estabilizada até o lançamento final da versão 7.0, previsto para meados de abril de 2026. Usuários de distribuições focadas em servidores e containers, como o Fedora CoreOS ou versões futuras do Ubuntu, poderão usufruir de sandboxes mais seguros assim que o systemd for atualizado para utilizar essas novas capacidades do kernel no segundo semestre de 2026.

TAGS:
FONTE:LKML
Compartilhe este artigo
PorEmanuel Negromonte
Seguir
Emanuel Negromonte é Jornalista, Mestre em Tecnologia da Informação e atualmente cursa a segunda graduação em Engenharia de Software. Com 14 anos de experiência escrevendo sobre GNU/Linux, Software Livre e Código Aberto, dedica-se a descomplicar o universo tecnológico para entusiastas e profissionais. Seu foco é em notícias, tutoriais e análises aprofundadas, promovendo o conhecimento e a liberdade digital no Brasil.
TecnologiaNotícias

Nvidia oferece US$ 200 mil para impulsionar jogos no Linux

Imagem com logomarca da NVIDIA

Com salários de US$ 200 mil, Nvidia aposta em Proton e Vulkan para transformar de vez os jogos no Linux.

Por Jardeson Márcio

Leia também

Posts sobre o mesmo assunto