Linux 5.4内核将引入安全锁定功能

[size=1pc]在很长时间的讨论、审查和代码重写后，Linus Torvalds最终决定在Linux内核5.4中加入内核“锁定”安全功能。该功能将是可选的，会在即将发布的Linux 5.4中作为Linux安全模块提供给开发者。该功能将带来用户空间与Linux内核交互方式的重大变化。

[size=1pc]

                               
登录/注册后可看大图

[size=1pc]Linux中的内核锁定功能是什么？该功能由谷歌工程师Matthew Garrett在2010年提出，主要想法是“允许内核在启动进程的早期被锁定。”这么做，主要是为了防止root帐户篡改内核代码，从而在用户态进程和代码之间划清界限。

[size=1pc]默认情况下，内核锁定的安全功能在出厂时将被禁用。但启用该功能后，即使root帐户也无法访问某些内核功能，从而保护操作系统免受恶意root帐户的影响。

[size=1pc]“锁定”功能中做出的一些限制措施包括防止系统进入休眠状态，阻止对/ dev / mem的写操作（甚至root帐户也不能），阻止CPU MSR访问等。

[size=1pc]值得一提的是，Matthew Garrett最初提出该功能时，Linus Torvalds就是对此功能的批评者之一。后来Matthew Garrett组织了许多讨论，复习并添加了大量代码重写，以确保该功能不会影响内核，并按预期的方式实现。