Lockdown – o novo módulo de segurança que irá bloquear partes do kernel

Conheça o Lockdown, o novo módulo de segurança que irá bloquear partes do kernel, e entenda porque ele demorou tanto pra ser aprovado.

Após muitos anos de discussão, Linus Torvalds finalmente aprovou a inclusão do Lockdown no Linux 5.4, um recurso que bloqueará o acesso a determinados componentes do kernel (incluindo root) e chegará como um módulo de segurança.

Lockdown - o novo módulo de segurança que irá bloquear partes do kernel
Lockdown – o novo módulo de segurança que irá bloquear partes do kernel

Lockdown é o novo módulo de segurança que irá bloquear partes do kernel

A história do Lockdown é bastante longa, já que o recurso foi proposto inicialmente em 2012 por Matthew Garrett.

No entanto, Linus Torvalds decidiu rejeitá-lo e isso levou a um dos maiores conflitos vistos na história do desenvolvimento do Linux entre esses dois desenvolvedores, cujo relacionamento pessoal é muito ruim (ou pelo menos na aparência).

Naquela ocasião, Torvalds deixou claro seu desacordo em relação à ligação do bloqueio do kernel ao Secure Boot, já que nem todos têm o recurso UEFI ativado em seu computador e delegaram a ativação do bloqueio por fatores que não dependiam do kernel, além disso, o Secure Boot pode acabar alterando o comportamento dos processos ou componentes do kernel.

Aqui é importante lembrar que Matthew Garrett é um dos principais defensores do Secure Boot no espectro do Linux.

Após muitos anos de cabo-de-guerra, o chefe e o “pai” do Linux torceu o braço e decidiu que o Lockdown seria incluído na árvore de códigos do Linux 5.4.

Embora Matthew Garrett tenha comemorado a inclusão do novo recurso no Twitter, a realidade é que algumas de suas máximas parecem não ter sido atingidas, pois serão implementadas separadamente do Secure Boot (embora isso não signifique que ele não possa tirar proveito dessa possibilidade de UEFI).

Além disso, ele será desativado por padrão e terá dois níveis de operação:

  • Integridade: Os recursos do kernel que permitem ao usuário modificar o kernel em execução estão desabilitados.
  • Confidencialidade: Além do descrito acima, as funções do kernel que permitem ao usuário extrair informações confidenciais do kernel também estão desabilitadas.


Como já foi dito no inicio deste artigo, o módulo de segurança Lockdown torna partes do kernel bloqueadas para todos os usuários, incluindo o root, melhorando assim a segurança.

Conforme explicado por Torvalds, “quando ativado, várias partes da funcionalidade do kernel são restritas”, impossibilitando o acesso por meio de um código arbitrário executado a partir do espaço do usuário, além de impedir que os processos de leitura e gravação em /dev/mem e /dev/kmem e impedem o acesso a portas não processadas em /dev/port, entre outras restrições.

Bloquear o kernel é um recurso mais exigido do que parece. De fato, a Red Hat desenvolveu seus próprios mecanismos de bloqueio que se aplicam ao kernel que distribui com o RHEL.

Sabendo que alguns desenvolvedores de distribuições Linux decidiram incluir implementações próprias do recurso em questão, Linus Torvalds reconheceu que é possível que a aprovação do Linux 5.4 não atenda às expectativas de todos, mas é um passo à frente ter uma solução unificada e padronizado, podendo ficar sem “patches externos” no futuro.

Por outro lado, ele alertou que “os aplicativos que dependem de acesso de baixo nível ao hardware ou ao kernel podem parar de funcionar”, por isso recomenda ativar ou não o bloqueio após uma avaliação completa e adequada.

Como podemos ver, o Lockdown é um módulo que oferecerá melhorias significativas em termos de fortalecimento da segurança do Linux, embora possa não ser totalmente prático para alguns usuários finais que estão acostumados a reproduzir tudo.

O que está sendo falado no blog

<a href="https://www.edivaldobrito.com.br////” rel=”noopener noreferrer” target=”_blank”>Veja mais artigos publicados neste dia…

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.