Linux 内核模块的安全风险有多大?我记得读过,如果有人获得了访问权限,那么他们所要做的就是加载一个 rootkit 模块。这个对吗?有什么办法可以防止这种情况发生吗?
内核的哪些部分实际上是通过模块接口(interface)公开的,程序员可以访问哪些功能,可以用于恶意目的?
最佳答案
Douglas 说的完全正确,Linux 是monolithic一个模块可以做任何事情。这是一个主要由 Linus Thorvalds 驱动的设计选择,符合开源哲学(为什么要限制,它会降低性能,你可以从源代码中看到模块的作用 - 实际上只对真正的 Nerd 说 :-) -)。
现在您可能需要从第 3 方加载一些所谓的二进制模块。即使它们看起来是经过编译的,通常也有一个通用的目标文件作为黑盒,并且实际上只编译了它周围的接口(interface)(比如我使用的 nvidia 图形驱动程序)。没有确定的答案,如果你加载这样的模块,你必须信任供应商,如果不信任,就不要这样做......
只有 root 可以加载理论上正确的模块。然而实际上,没有系统是完美的(即使是 Linux)。有时会出现内核漏洞,使本地用户或远程用户(极少数情况)有可能将代码引入内核,以便他们获得 root 权限,从而控制您的系统。拥有最新的内核是一件好事...
在明确这一点之后,让我们进入到目前为止尚未回答的问题的第二部分:“程序员可以访问哪些功能,可以用于恶意目的?”。许多为 SE-Linux 所做的事情也可以用于恶意目的,例如:
- 在
/proc或/sys目录中隐藏信息,例如隐藏恶意用户进程,这样它们就不会显示在top等工具中,ps等。这包括隐藏恶意模块本身,使其不在lsmod中列出。 - 记录击键...
- 向外界发送数据。没有内核模块需要连接到站点并发送信息(原始 linux 代码中的网络堆栈除外),如果模块的代码会发出难闻的气味。如果对某些字符串进行加密和解密以进行某些操作,则气味会更糟...
- ...
列表很大,如果您想了解更多详细信息,可以查看 Rootkit Hunter (http://www.rootkit.nl/projects/rootkit_hunter.html)。这是我不时运行的工具。它可以检测一些广泛使用的存在 rootkits .它管理着一个 rootkit 列表,用 google 搜索名称会让你清楚这些野兽正在跟踪什么样的目标......就像 Douglas 所说的那样,可以使用的函数实际上是内核中可用的所有函数,没有限制。因此,判断一个模块是否是坏人并不是一件显而易见的事情。
关于Linux 内核模块——安全风险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1565323/