Segurança do Linux reforçada

AT_EXECVE_CHECK: nova flag de segurança no Linux 6.14

17/01/2025 13:30

Com a abertura da janela de merge para o Linux 6.14, uma das mudanças aguardadas é a introdução da flag AT_EXECVE_CHECK na chamada `execveat`. Desenvolvida por Kees Cook, engenheiro do Google, essa funcionalidade busca melhorar a consistência e a segurança no ambiente de execução ao verificar permissões de “executabilidade” para arquivos usados por interpretadores e bibliotecas dinâmicas.

O que é a AT_EXECVE_CHECK?

A AT_EXECVE_CHECK é uma flag que permite verificar se um arquivo pode ser executado de acordo com as políticas de segurança do kernel Linux. Ela é projetada para lidar com casos em que a execução não passa diretamente pelo kernel, como:

Scripts executados por interpretadores (e.g., `sh script.sh`).
Bibliotecas carregadas dinamicamente (e.g., `dlopen()`).

Com essa flag, é possível garantir que a execução direta (e.g., `./script.sh`) e indireta (e.g., `sh script.sh`) tenham os mesmos requisitos de permissão, aumentando a consistência e a segurança.

Principais funcionalidades da AT_EXECVE_CHECK

1. Verificação de permissões de execução

Ao usar a flag, o sistema verifica se o arquivo é executável sem considerar dependências externas, como bibliotecas ou interpreters.

2. Prevenção de condições de corrida

Combinando a flag AT_EXECVE_CHECK com AT_EMPTY_PATH, é possível realizar a verificação diretamente via descritor de arquivo, evitando problemas de time-of-check to time-of-use (TOCTOU).

3. Aplicação em ambientes seguros

Em ambientes que utilizam o recurso SECBIT_EXEC_RESTRICT_FILE ou SECBIT_EXEC_DENY_INTERACTIVE, essa flag pode ser usada para reforçar políticas que exigem execução apenas de códigos confiáveis.

Benefícios para a segurança no Linux

A introdução da AT_EXECVE_CHECK representa um avanço significativo para fortalecer a segurança no kernel Linux. Entre os benefícios estão:

Consistência: Garante que diferentes métodos de execução sigam as mesmas políticas de segurança.
Controle granular: Permite que bibliotecas dinâmicas e scripts sejam validados antes da execução.
Logs aprimorados: Possibilidade de adicionar informações detalhadas aos registros de acesso.

Próximos passos

A AT_EXECVE_CHECK passou pelo ciclo “-next” no Linux e já foi amplamente revisada e testada. Agora, o pull request enviado por Kees Cook aguarda aprovação de Linus Torvalds para ser incluído na próxima versão do kernel. Caso aprovado, a funcionalidade estará disponível no Linux 6.14.

Mais informações estão disponíveis no arquivo da lista de discussão.

Conclusão

A flag AT_EXECVE_CHECK é uma adição promissora ao kernel Linux, oferecendo novas ferramentas para aprimorar a segurança e a consistência em ambientes de execução. Essa funcionalidade destaca o compromisso contínuo da comunidade em tornar o Linux mais seguro para todos os usuários.

Emanuel Negromonte Autor

Emanuel Negromonte

Autor

Jornalista especialista em Linux a mais de 20 anos. Fundador do SempreUpdate e entusiasta do software livre.

Assuntos

Mais Notícias

Mais artigos

Logotipo da Intel em azul sobre um fundo preto texturizado, representando a identidade visual da marca.

Intel THC no Linux 6.14

Suporte ao Intel THC será introduzido no Linux 6.14

O ciclo do kernel Linux 6.14 está prestes a incluir suporte para o Intel THC (Touch Host Controller), um bloco IP integrado ao chipset de laptops modernos da Intel. Esse controlador gerencia dispositivos de entrada sensíveis ao toque, como telas sensíveis e touchpads, presentes em sistemas baseados em processadores Intel Core. O que é o […]

NVMe PCI no Linux

Suporte ao driver NVMe PCI Endpoint chega no Linux 6.14

O Linux 6.14 apresentará um novo e interessante driver: o NVMe PCI Endpoint Function Target. Desenvolvido por Damien Le Moal da Western Digital, o driver utiliza o framework PCI endpoint para criar controladores NVMe em hardware com suporte a modo endpoint PCIe. O que é o NVMe PCI Endpoint Function Target? O novo driver permite […]

AMD Preferred no Linux 6.14

Linux 6.14 trará melhorias importantes para o AMD Preferred Core

A próxima versão do kernel Linux, a 6.14, promete uma melhoria significativa no suporte ao AMD Preferred Core, aprimorando o desempenho e a eficiência em processadores AMD Ryzen. Essas atualizações incluem a introdução de rankings dinâmicos para os núcleos preferenciais, algo essencial para aproveitar ao máximo o potencial de CPUs modernos. O que é AMD […]

Microsoft causando no Linux

Mudança da Microsoft no kernel Linux 6.13 gera polêmica: Impactos e repercussões

Uma contribuição feita por um engenheiro da Microsoft ao kernel Linux 6.13 gerou um grande debate na comunidade de código aberto. A alteração, que visava melhorar o desempenho do sistema, acabou introduzindo problemas técnicos e levantando questionamentos sobre o processo de revisão e aprovação no desenvolvimento do kernel. Contexto e histórico Como você sabe kernel […]

Nova atualização lançada para o Linux Kernel, confira todos os detalhes

Linux mais seguro que nunca

Novos controles de vetores de ataque no Linux: gerenciando mitigações de segurança da CPU com eficiência

Em uma tentativa de tornar a gestão de mitigações de segurança da CPU mais acessível e eficiente, foi proposta uma atualização significativa para o kernel Linux. Chamados de Controles de Vetores de Ataque, esses novos ajustes reimaginam como os administradores de sistemas podem habilitar ou desabilitar mitigações baseadas na classe e escopo das vulnerabilidades. Essa […]

Relógio despertador marcando a hora com um papel colorido ao fundo escrito 'Linux 6.13', simbolizando a iminência do lançamento da nova versão do sistema.

Linux 6.13-rc7: o que há de novo no kernel mais recente?

O Linux 6.13-rc7 chegou como a mais recente candidata a lançamento para o kernel Linux 6.13, trazendo diversas atualizações e melhorias. Este lançamento marca o retorno à atividade após o período de festas, quando muitos desenvolvedores e testadores estavam em recesso. A expectativa é que o kernel Linux 6.13 estável seja lançado em 19 de […]