El lanzamiento de Linux 5.4 abrió un debate: aquella versión del núcleo introdujo Lockdown, un módulo de seguridad que, por otra parte, nos resta control sobre nuestros equipos. Los sistemas basados en Linux son seguros, pero si se quiere mejorar un poco más en seguridad hay que tomar decisiones polémicas. Por ese motivo, Lockdown se entregó desactivado por defecto y son las distribuciones las que eligen si hacer uso de él o no. En cuatro meses, Canonical podría introducir una capa más de seguridad en este sentido, coincidiendo con el lanzamiento de Ubuntu 20.10.
El problema es el siguiente: dmesg es capaz de filtrar direcciones del kernel y otra información sensible, por lo que el plan sería impedir el acceso a dmesg para usuarios sin privilegios. Esta es una medida un poco diferente a la del módulo Lockdown, empezando porque los usuarios con privilegios sí podrían acceder a él y terminando porque es algo que están haciendo la mayoría de distribuciones Linux importantes, por lo que, si fuera una mala medida, no se estaría extendiendo.
Ubuntu 20.10 introducirá una nueva medida de seguridad
El cambio es sencillo: lo único que hay que hacer es activar la línea CONFIG_SECURITY_DMESG_RESTRICT Kconfig en las builds del kernel, y eso es justamente lo que se está planteando Canonical para Ubuntu 20.10, cuyo nombre en clave será Groovy Gorilla. Según Matthew Ruffell, quien se ha encargado de informar de estas intenciones, y teniendo en cuenta que Ubuntu ya restringe el acceso a kernel.log, syslog e información de logs similares, esta es «la brecha de seguridad final que actualmente disfrutan los usuarios sin privilegios en sistemas multiusuario«.
Ubuntu 20.10 llegará el 22 de octubre y lo hará con GNOME 3.38, aún más mejoras en ZFS como Root y un nuevo kernel cuya versión exacta aún está por confirmar. Y, nos guste o no, podría ser un poco más seguro.
Fuente: ubunlog
