Lanzamiento del núcleo Linux 6.7 con varias mejoras de seguridad
Linus Torvalds anunció el lanzamiento del núcleo Linux 6.7 el 7 de enero de 2024, con varias mejoras y nuevas características. Una adición importante es el sistema de archivos bcachefs, diseñado para competir con Btrfs y ZFS en cuanto a características modernas, al tiempo que mantiene la velocidad de EXT4 y XFS. Este artículo pretende explorar las características de seguridad y las actualizaciones introducidas en esta nueva serie de kernels.
Funciones de seguridad en el núcleo Linux 6.7
Actualizaciones del subsistema criptográfico
Las actualizaciones del subsistema criptográfico del núcleo Linux 6.7 implican cambios rutinarios y varias actualizaciones de la aceleración criptográfica para diferentes System-on-Chips (SoC). En particular, la actualización reduce el papel de los algoritmos hash criptográficos inseguros y obsoletos. Se ha eliminado la compatibilidad con SHA1 para la firma de módulos del kernel o la importación de certificados X.509, recomendándose para estos fines los algoritmos SHA256 o superiores. Además, se han eliminado los algoritmos hash MD4 y MD5 y las firmas en certificados X.509 por motivos de seguridad.
Hacer hardening.config
Linux 6.7 introduce un nuevo perfil de configuración de endurecimiento para ayudar en la construcción de un núcleo reforzado en seguridad con algunos valores por defecto cuerdos. La actualización incluye un fragmento de Kconfig con opciones básicas de endurecimiento que pueden activarse ejecutando "make hardening.config". Algunas de las opciones de endurecimiento incluyen la aplicación básica de permisos de memoria del núcleo, la aleatorización del diseño del espacio de direcciones, la aleatorización del desplazamiento de la pila en la entrada de syscall, la comprobación de los límites de longitud del búfer y varios ajustes de seguridad.
Controles de acceso de bloqueos terrestres
En Linux 6.7, Landlock, una función de aislamiento de aplicaciones sin privilegios fusionada en Linux 5.13, ha ampliado sus capacidades más allá de los controles de acceso al sistema de archivos para incluir soporte inicial para redes. Implementado como un módulo de seguridad Linux apilable (LSM), Landlock introduce ahora derechos de acceso como LANDLOCK_ACCESS_NET_BIND_TCP y LANDLOCK_ACCESS_NET_CONNECT_TCP. Esta actualización permite la restricción de las llamadas al sistema bind() y connect() del socket TCP para puertos específicos.
Generación de cabeceras PE
Los cambios en x86/boot para el núcleo Linux 6.7 incluyen una importante revisión de la generación de cabeceras PE dirigida por Ard Biesheuvel. El objetivo es crear una vista de imagen del kernel moderna y alineada a 4K para mejorar la seguridad del sistema. Esta reestructuración es posible gracias a que el flujo de arranque EFI stub ya no depende de la memoria ejecutable y escribible simultáneamente. La nueva disposición expone el código y los datos de sólo lectura del binario descompresor como una sección .text y data/bss como una sección .data, con alineación 4K y permisos limitados. Esto es esencial para la compatibilidad con las medidas de seguridad de los PC x86 construidos para Windows.
Otras novedades del núcleo Linux 6.7
Esta versión también introduce soporte para el firmware GSP de NVIDIA en el controlador gráfico de código abierto Nouveau. Entre las actualizaciones más destacadas se incluyen mejoras en el sistema de archivos Btrfs, mejoras en las redes y actualizaciones de sistemas de archivos como EXT4, F2FS y exFAT. El kernel ofrece compatibilidad con nuevo hardware, arquitecturas y plataformas AMD, así como actualizaciones de seguridad, como las mejoras de AppArmor.
El núcleo Linux 4.14 llega al final de su vida útil
La serie de kernels Linux 4.14 con soporte a largo plazo (LTS), lanzada inicialmente el 12 de noviembre de 2017, ha llegado oficialmente al final de su vida útil tras más de seis años de mantenimiento. Se recomienda a los usuarios que sigan utilizando esta versión del núcleo que actualicen a los nuevos núcleos con soporte a largo plazo, como Linux 5.4 (con soporte hasta diciembre de 2025), Linux 5.10, Linux 5.15, Linux 6.1 o Linux 6.6 (todos con soporte hasta diciembre de 2026).
Conclusión
El núcleo Linux 6.7 está disponible para su descarga, y se espera que el núcleo Linux 6.8 le siga a mediados de marzo de 2024. Con un breve periodo de soporte de un par de meses, pronto le sucederá Linux kernel 6.8.
El núcleo es el componente central del sistema operativo Linux, por lo que es crucial protegerlo para la seguridad general del sistema. TuxCare ofrece KernelCare Enterprise, que aplica automáticamente todas las actualizaciones y parches de seguridad al kernel de Linux sin tener que reiniciar ni programar ventanas de mantenimiento.
Obtenga más información sobre live patching y descubra cómo funciona KernelCare live patching.
Las fuentes de este artículo pueden consultarse en Phoronix.