From Fedora Project Wiki

Whitelist di modprobe

Sommario

Introdotta una whitelist con la lista di moduli e comandi permessi da modprobe, per limitare, da parte dell'amministratore di sistema, il numero dei programmi, potenzialmente vulnerabili, eseguibili nel kernel.

Progettista

Stato corrente

Per informazioni aggiornate sullo stato del progetto consultare la pagina originale di questo documento.

Descrizione dettagliata

Il kernel, e le varie applicazioni che eseguono nello spazio utente, possono automaticamente caricare moduli del kernel indispensabili per eseguire certe azioni (p.e. l'inserimento di un flash disk con un particolare filesystem, può provocare l'inserimento di altro hardware e l'uso di un protocollo di rete non esplicitamente necessari). Ciò può causare anche agli utenti con ridotti privilegi di caricare moduli del kernel, e il codice del kernel potrebbe diventare vulnerabile. Questo progetto, riducendo le situazioni ad alto rischio per la sicurezza, consente agli amministratori del sistema di limitare i moduli caricati da modprobe ad una lista specifica di moduli configurata dall'amministratore, rendendo impossibile a utenti privi delle necessarie autorizzazioni di sfruttare le vulnerabilità nei moduli che ordinariamente non vengono utilizzati, p.e. quando si inserisce un dispositivo.

modprobe può anche eseguire comandi specifici invece di caricare un modulo, usando la direttiva install di configurazione; essa verrebbe ristretta usando la stessa whitelist.

Per aiutare gli amministratori a compilare la whitelist, a modpobe sono aggiunte altre funzionalità; usando una particolare opzione, sarà possibile registrare (to log) tutte le informazioni in un file specificato, incluse le azioni svolte da modprobe all'avvio del sistema. Si fornisce inoltre uno script che compila una whitelist a partire dalle informazioni di log.

Vantaggi per Fedora

Se voluto e confgurato dall'amministratore di sistema, gli attacchi nello spazio kernel sono ridotti, evitando il rischio di sfruttare vulnerabilità nel codice del kernel raramente usato.

Un sistema desktop di Fedora 12 tipico, correntemente usa circa 79 moduli, su 1964 moduli disponibili (4%). Ossia, includendo anche il file principale del kernel (/boot/vmlinuz*), il sistema desktop usa 8,36 MB di codice del kernel, su 34,66 MB di codice disponibile (24%).

Documentazione

Consultare le pagine di man:

  • modprobe.conf(5).
  • build-modprobe-whitelist(8)

Note di rilascio

Fedora ora consente agli amministratori del sistema di limitare ad un insieme ristretto esplicitamente selezionati, i moduli automaticamente caricati nel kernel. Questo serve a prevenire attacchi a codice del kernel vulnerabile, non strettamente necessario per le ordinarie operazioni del sistema (p.e. l'inserimento di un flash disk con un particolare filesystem, può provocare l'inserimento di altro hardware e l'uso di un protocollo di rete non esplicitamente necessari). Per i dettagli vedere le pagine di man build-modprobe-whitelist(8).

Altre informazioni

Per:

  • Obiettivi
  • Test Plan
  • Esperienza Utente
  • Dipendenze
  • Progetto corrente
  • Commenti e Discussioni

visitare la pagina originale di questo documento.