Recurso de bloqueio do kernel deve chegar ao Linux 5.4

Kaiji, um novo malware para Linux
kernel

Embora Linus Torvalds ainda não tenha atuado com a janela de mesclagem do Linux 5.4 aberta até a próxima semana, James Morris enviou uma solicitação de introdução ao modo de bloqueio do kernel para o Linux 5.4. Portanto, o recurso de bloqueio do Kernel deve chegar ao Linux 5.4.

O suporte ao bloqueio do kernel foi anteriormente rejeitado da linha principal. Porém, desde então, foi separado do código EFI Secure Boot, além de ser implementado como um módulo de segurança Linux (LSM) para tratar de algumas das preocupações anteriores sobre o código. Também houve outras melhorias no design deste módulo.

Como é esse recurso de bloqueio do kernel deve chegar ao Linux 5.4?

O código do Linux Lockdown é sobre a restrição do acesso ao hardware e bits subjacentes que podem modificar a imagem do kernel em execução. Quando no modo de bloqueio opcional,acesso restrito aos registros específicos da máquina da CPU, a hibernação é desabilitada, os parâmetros do módulo do kernel que tocam nas configurações de hardware são bloqueados, as gravações em /dev/mem nem são permitidas como root e várias outras restrições.

Esse modo opcional realmente bloqueia o sistema com força. Porém, é apenas opcional e visa ao emparelhamento com o UEFI Secure Boot ou outros ambientes voltados para a segurança.

Veremos nos próximos dias que o código de bloqueio do kernel é aceito para a linha principal do Linux 5.4. Dadas as melhorias feitas, há boas chances de finalmente atender à árvore da linha principal. Além disso, a maioria das distribuições Linux está suportando suporte de “bloqueio” de alguma forma

Linux 5.4 trazendo suporte para o “PrivacyGuard” da Lenovo em ThinkPads mais recentes

Recurso de bloqueio do kernel deve chegar ao Linux 5.4

Os laptops Lenovo ThinkPad mais modernos de ponta oferecem uma opção chamada “PrivacyGuard“. Isso serve para restringir os ângulos de visualização verticais e horizontais utilizáveis ??do monitor LCD, semelhante ao que era possível anteriormente usando capas de filmes e similares. No Linux 5.4, esse recurso é suportado pelo kernel, se estiver preocupado com outras pessoas que olham por cima da tela etc.

O Lenovo PrivacyGuard permite restringir os ângulos verticais/horizontais utilizáveis ??do painel LCD do laptop. Assim, ninguém mais, além do usuário, pode ver o conteúdo da tela. Ao contrário de capas de filmes ou outras práticas, o PrivacyGuard pode ser ativado/desativado facilmente, dependendo da sua localização. O PrivacyGuard não trabalhou no Linux até o momento, porém está chegando agora com o Linux 5.4.

O PrivacyGuard não funciona com nenhum ThinkPad. Porém, atualmente é encontrado em seus modelos mais avançados, como os modelos T480s, T490 e T490s. Ativar o suporte no Linux era uma questão de descobrir os métodos ACPI para ativar/desativar o recurso de hardware da tela.

Com o Linux 5.4+, o PrivacyGuard é suportado como parte do driver ThinkPad ACPI existente e expõe /proc/acpi /ibm/lcdshadow para exibir o estado do recurso e alternar sua funcionalidade. Escrever 0 ou 1 no nó procfs alternará o recurso.

Este Lenovo PrivacyGuard faz parte do driver da plataforma x86mudanças para o Linux 5.4. Essa solicitação inicial do Linux 5.4 pull também possui atualizações do driver ASUS WMI, suporte ao acelerômetro para o HP ZBook 17 G5 e ASUS Zenbook UX430UNR, atualizações do driver Intel Speed ??Select e várias outras atualizações.

Via Phoronix