Linux-Kernel 6.7 mit verschiedenen Sicherheitsverbesserungen veröffentlicht
Linus Torvalds kündigte die Veröffentlichung von Linux-Kernel 6.7 am 7. Januar 2024 an, der verschiedene Verbesserungen und neue Funktionen enthält. Eine der wichtigsten Neuerungen ist das Dateisystem bcachefs, das mit Btrfs und ZFS konkurrieren und gleichzeitig die Geschwindigkeit von EXT4 und XFS beibehalten soll. Dieser Artikel befasst sich mit den Sicherheitsfunktionen und Aktualisierungen, die in dieser neuen Kernel-Serie eingeführt wurden.
Sicherheitsfunktionen im Linux-Kernel 6.7
Aktualisierungen des Krypto-Subsystems
Die Aktualisierungen des Krypto-Subsystems im Linux-Kernel 6.7 umfassen Routineänderungen und verschiedene Aktualisierungen der Krypto-Beschleunigung für verschiedene System-on-Chips (SoCs). Das Update reduziert insbesondere die Rolle unsicherer und veralteter Krypto-Hashing-Algorithmen. Die SHA1-Unterstützung für das Signieren von Kernel-Modulen oder das Importieren von X.509-Zertifikaten wurde entfernt, so dass für diese Zwecke SHA256 oder bessere Algorithmen empfohlen werden. Außerdem wurden MD4- und MD5-Hashing und -Signaturen in X.509-Zertifikaten aufgrund von Sicherheitsbedenken abgeschafft.
Härtung.config erstellen
Linux 6.7 führt ein neues Härtungskonfigurationsprofil ein, das bei der Erstellung eines sicherheitsgehärteten Kernels mit einigen vernünftigen Voreinstellungen hilft. Das Update enthält ein Kconfig-Fragment mit grundlegenden Härtungsoptionen, die durch Ausführen von "make hardening.config" aktiviert werden können. Einige der Härtungsoptionen umfassen die Durchsetzung grundlegender Kernel-Speicherberechtigungen, die Randomisierung des Adressraum-Layouts, die Randomisierung des Stack-Offsets bei Syscall-Einträgen, die Überprüfung der Pufferlänge und verschiedene Sicherheitseinstellungen.
Landlock Zugangskontrollen
In Linux 6.7 hat Landlock, ein Sandboxing-Feature für unprivilegierte Anwendungen, das in Linux 5.13 integriert wurde, seine Fähigkeiten über die Zugriffskontrolle auf das Dateisystem hinaus erweitert und bietet nun auch erste Unterstützung für Netzwerke. Implementiert als stapelbares Linux-Sicherheitsmodul (LSM), führt Landlock nun Zugriffsrechte wie LANDLOCK_ACCESS_NET_BIND_TCP und LANDLOCK_ACCESS_NET_CONNECT_TCP ein. Diese Aktualisierung ermöglicht die Einschränkung von TCP-Socket bind() und connect() Systemaufrufen für bestimmte Ports.
PE-Kopferzeugung
Die x86/boot-Änderungen für Linux-Kernel 6.7 beinhalten eine erhebliche Überarbeitung der PE-Header-Generierung unter der Leitung von Ard Biesheuvel. Ziel ist es, eine moderne, 4K-ausgerichtete Kernel-Image-Ansicht für verbesserte Systemsicherheit zu schaffen. Diese Umstrukturierung wird dadurch ermöglicht, dass der EFI-Stub-Boot-Flow nicht mehr gleichzeitig auf ausführbaren und beschreibbaren Speicher zurückgreift. Das neue Layout zeigt den Code und die schreibgeschützten Daten des Dekompressors als .text-Abschnitt und data/bss als .data-Abschnitt, mit 4K-Ausrichtung und eingeschränkten Berechtigungen. Dies ist wichtig für die Kompatibilität mit den Sicherheitsmaßnahmen auf x86-PCs, die für Windows entwickelt wurden.
Andere neue Funktionen im Linux-Kernel 6.7
Diese Version führt auch die Unterstützung für NVIDIAs GSP-Firmware im Open-Source-Grafiktreiber Nouveau ein. Zu den bemerkenswerten Aktualisierungen gehören Erweiterungen des Btrfs-Dateisystems, Netzwerkverbesserungen und Aktualisierungen für Dateisysteme wie EXT4, F2FS und exFAT. Der Kernel bietet Unterstützung für neue Hardware, Architekturen und AMD-Plattformen sowie Sicherheitsaktualisierungen, wie z. B. Verbesserungen von AppArmor.
Linux-Kernel 4.14 hat das Ende seiner Lebensdauer erreicht
Die langfristig unterstützte (LTS) Linux-Kernelreihe 4.14, die ursprünglich am 12. November 2017 veröffentlicht wurde, hat nach über sechs Jahren Wartung offiziell das Ende ihrer Lebensdauer erreicht. Benutzern, die noch mit dieser Kernel-Version arbeiten, wird empfohlen, auf neuere langfristig unterstützte Kernel wie Linux 5.4 (unterstützt bis Dezember 2025), Linux 5.10, Linux 5.15, Linux 6.1 oder Linux 6.6 (alle unterstützt bis Dezember 2026) zu aktualisieren.
Schlussfolgerung
Linux-Kernel 6.7 steht zum Download bereit, Linux-Kernel 6.8 wird voraussichtlich Mitte März 2024 folgen. Mit einer kurzen Support-Spanne von ein paar Monaten wird er bald von Linux-Kernel 6.8 abgelöst werden.
Der Kernel ist die Kernkomponente des Linux-Betriebssystems, weshalb es für die Sicherheit des gesamten Systems entscheidend ist, ihn zu sichern. TuxCare bietet KernelCare Enterprise an, das automatisch alle Sicherheitsupdates und Patches auf den Linux-Kernel anwendet, ohne dass ein Neustart erforderlich ist oder Wartungsfenster geplant werden müssen.
Erfahren Sie mehr über Live-Patching und wie KernelCare Live-Patching funktioniert.
Die Quellen für diesen Artikel sind auf Phoronix zu finden.