由于我们生活在Linux内核rootkit时代,有没有办法在Linux中禁止任何用户或任何操作或命令加载任何附加模块到操作系统内核中?某种形式锁定内核空间。
附:
我知道我们可以删除任何编译器工具和一些强化,但我正在寻找内核空间以及其使用中的关键文件和目录的额外保护。
我知道我们可以删除插入模块工具在/sbin/insmod,但有人可以将其重新复制到操作系统并再次使用它。
答案1
您可以做以下几件事:
阻止内核模块加载,直到系统重新启动
只需运行echo 1 > /proc/sys/kernel/modules_disabled
此后,只要内核正在运行,就无法加载新模块。如果不重新启动,此设置无法重置回 0。
这仍然允许在启动时加载模块,但允许您在加载所有必要的模块后将其锁定。
确保首先只能加载值得信赖的模块
这些方法可以让你鱼与熊掌兼得:
如果您的系统具有 UEFI 固件并且启用了安全启动,那么引导加载程序不得允许执行未签名的内核代码实际上是安全启动认证要求。大多数支持安全启动的发行版也会使用内核模块签名(内核编译选项CONFIG_MODULE_SIG=y
和CONFIG_MODULE_SIG_FORCE=y
)将其扩展到内核模块。
或者,如果您编译自己的内核,则可以启用CONFIG_SECURITY_LOADPIN
内核编译选项,这会增加所有内核模块必须来自单个文件系统的要求。如果您已将所有用户可写目录和临时目录隔离到单独的文件系统,或者甚至在锁定使用时将根文件系统设置为只读,这可能会很有用。
当然,还有硬核选项......
构建您自己的自定义内核,内置所有必要的驱动程序,并且完全禁用模块功能
这是老式的,但如果您的硬件配置非常稳定,仍然可以应用。
答案2
您无法完全禁用“modules_disabled”-LKM。实际上,您可以禁用它,但如果某些用户具有机器的 root 访问权限,则此魔法将无法使用。决定是:您必须编译自己的 Linux 内核项目,并且应该从“启用可加载模块支持”菜单中完全禁用“modules_disabled”。https://github.com/nu11secur1ty/Linux_hardening_and_security/tree/master/Kernel-sec-modules_by_nu11secur1ty/linux-5.1.1/kernel
BR