Skip to main content

Linus Torvalds al fin ha aceptado añadir un cerrojo al kernel en Linux 5.4

Linux

02/10/2019 - 08:41

Reintegrado desde hace unos meses a su puesto de máximo responsable de Linux, tras una crisis personal, Linus Torvalds continúa supervisando las actualizaciones del popular sistema operativo, en el que se basa el propio Android. La próxima versión, Linux 5.4, incluirá una importante novedad: tras nueve años de debates y discusiones, al fin Linux Torvalds ha aceptado incluir un candado o lockdown al kernel de Linux.

Hay que decir que el contenido o las novedades de Linux no las decide Linux Torvalds. Es una decisión que se toma en consenso entre el grupo de desarrolladores a cargo del kernel (el núcleo crítico) de Linux. Pero con esta cuestión en concreto, el creador de Linux se había mostrado abiertamente en contra.

Añadir un lockdown o cerrojo al kernel de Linux fue propuesto por el ingeniero de Google Matthew Garrett hace nada menos que 9 años, en 2010. ¿Pero qué es un lockdown, y por qué Linus Torvalds se oponía a él?

Listen to "Episodio #31: API - ¿Qué es... ? Con Rubén Andrés Barbero" on Spreaker.

Un módulo lockdown o cerrojo sirve para bloquear el kernel de Linux durante el proceso de arranque del sistema operativo. El objetivo es evitar que una cuenta o usuario con acceso root, pueda acceder al código de Linux durante el arranque del sistema.

Es una medida de seguridad que impide manipular el sistema, pero también añade restricciones cuando se usa, y principalmente obliga a reescribir mucho código y cambiar la forma en que funciona el propio núcleo de Linux, por eso Linus Torvalds se había opuesto a él.

No sabemos por qué ha cambiado de opinión, o es que está en minoría, o quizá ya han reescrito el código que había que cambiar, pero lo cierto es que la próxima versión de Linux, la 5.4, incluirá un módulo lockdown integrado en el kernel.

Este cerrojo añadirá dos capas de bloqueo. Una de ellas impedirá a un usuario modificar el kernel, aunque tenga todos los privilegios. Por otro lado una segunda capa impedirá a los usuarios extraer información confidencial del núcleo de Linux.

Para conseguir esto el módulo lockdown podrá hacer cosas como bloquear operaciones de lectura y escritura de la memoria, o impedir que el equipo entre en modo suspensión.

Este módulo de seguridad estará desactivado por defecto en el kernel de Linux. Serán los desarrolladores de las diferentes distros de Linux, o de las aplicaciones, los que decidan si quieres activarlo.

Más:

#Linux