A gente sabe que Linus Torvalds, volta e meia, deixa suas opiniões em torno do desenvolvimento do Linux Kernel. Agora, um novo recurso chamado “Kernel Lockdown” ou bloqueio de kernel, está deixando o pai do Linux de orelha em pé.
Então, como todo produto em desenvolvimento, é sempre bom observar os prós e contras de qualquer inclusão de recurso. Assim, não é diferente dentro do time responsável pelo Linux Kernel. O recurso “Kernel Lockdown”, vai bloquear ou restringir ainda mais o acesso ao kernel pelo usuário comum. Não estamos falando do ROOT, que fique claro.
Kernel Lockdown x UEFI SecureBoot
Assim, caso você precise acessar determinadas áreas para fazer verificação ou alterações, pode ser que você seja impedido devido ao recurso “Kernel Lockdown”. Então, podem ocorrer, por exemplo, restrições ACPI e módulos não assinados. E não é só: muita coisa vai ficar limitada com o novo recurso. Algumas partes do /dev podem ser bloqueadas devido ao fator segurança que o novo recurso do Linux Kernel promove. Mas, para que funcione, é preciso que Linus Torvalds integre o novo recurso ao UEFI SecureBoot. É justamente isso que ele não quer. Desde que o UEFI chegou, Linus não comenta muito o assunto e é resistente a desenvolver qualquer coisa que se integre a ele.
O objetivo do”Kernel Lockdown”, que Linus Torvalds não vê problema algum, se resume em impedir o acesso direto e indireto a uma imagem do kernel em execução. Assim, tenta proteger contra a modificação não autorizada da imagem do kernel e impedir o acesso à segurança e dados criptográficos localizados na memória do kernel, enquanto ainda permite que os módulos do driver sejam carregados. Mas o criador do Linux Kernel está chateado com os desenvolvedores tentando interligar incondicionalmente, o “Kernel Lockdown” com o UEFI SecureBoot.
Linus reclama de imposição do no novo recurso
Linus chega a dizer que o UEFI SecureBoot “foi empurrado na sua cara por alguém que tem uma agenda”. Basicamente, ele quis dizer que o UEFI foi empurrado, imposto por pessoas com planos e data certa para execução de outras tarefas. Em resumo, um “se vira que agora vai ser assim”, e isso o tem incomodado bastante.
Talvez o bloqueio interrompa algum aplicativo, só porque esse aplicativo faz algo diferente. Eu recebo um relatório de que isso está acontecendo. Ocorre que o reportador está executando a mesma distro que eu. Então, tenho a configuração exata do kernel e funciona comigo.
É *inteiramente* improvável que o reportador tenha rodado um kernel que tinha inicialização segura ativada.
Veja, qual é o problema? Juntar essas coisas de uma forma forçada, mágica, é uma má ideia.
Esta discussão está terminada até que você dê um bom motivo para ter interligado os dois recursos,” disse Linus Torvalds.
Durante a discussão, Linus chama atenção dos desenvolvedores que o respondem com uma outra pergunta. Então, por fim, ele encerrou o debate aguardando uma boa resposta, mas desde que não seja em forma de pergunta. Se você quiser ler todo o trâmite das discussões entre os desenvolvedores, sugerimos visualizar clicando no botão abaixo.