So prüfen Sie, ob der Kernel-Lockdown-Modus in Linux aktiv ist

Einführung

In diesem Lab lernen Sie, wie Sie prüfen können, ob der Kernel-Lockdown-Modus (Kernel-Sperrmodus) in Linux aktiv ist. Der Kernel-Lockdown ist ein Sicherheitsfeature, das bestimmte Kernel-Fähigkeiten einschränkt, um die System-Sicherheit zu verbessern.

Sie erreichen dies, indem Sie den Lockdown-Status des Kernels über das /proc-Dateisystem mit dem Befehl cat untersuchen, Lockdown-bezogene Nachrichten im Kernel-Ringpuffer mit dmesg überprüfen und die Sicherheits-Einstellungen im Verzeichnis /sys/kernel/security untersuchen. Diese Schritte geben Ihnen ein umfassendes Verständnis des aktuellen Lockdown-Zustands Ihres Linux-Systems.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL linux(("Linux")) -.-> linux/TextProcessingGroup(["Text Processing"]) linux(("Linux")) -.-> linux/BasicFileOperationsGroup(["Basic File Operations"]) linux/BasicFileOperationsGroup -.-> linux/ls("Content Listing") linux/BasicFileOperationsGroup -.-> linux/cat("File Concatenating") linux/TextProcessingGroup -.-> linux/grep("Pattern Searching") subgraph Lab Skills linux/ls -.-> lab-558794{{"So prüfen Sie, ob der Kernel-Lockdown-Modus in Linux aktiv ist"}} linux/cat -.-> lab-558794{{"So prüfen Sie, ob der Kernel-Lockdown-Modus in Linux aktiv ist"}} linux/grep -.-> lab-558794{{"So prüfen Sie, ob der Kernel-Lockdown-Modus in Linux aktiv ist"}} end

Prüfen des Lockdown-Status mit cat /proc/sys/kernel/lockdown

In diesem Schritt werden wir den aktuellen Lockdown-Status (Sperrstatus) des Linux-Kernels prüfen. Der Kernel-Lockdown ist ein Sicherheitsfeature, das bestimmte Kernel-Fähigkeiten einschränkt, um die Sicherheit zu verbessern, insbesondere auf Systemen, bei denen der physische Zugang ein Problem darstellt.

Der Lockdown-Status wird über das /proc-Dateisystem verfügbar gemacht, genauer gesagt unter /proc/sys/kernel/lockdown. Das /proc-Dateisystem ist ein virtuelles Dateisystem, das Informationen über Prozesse und andere Systeminformationen bereitstellt.

Um den Lockdown-Status zu prüfen, verwenden wir den Befehl cat. Der cat-Befehl wird verwendet, um den Inhalt von Dateien anzuzeigen.

Öffnen Sie Ihr Terminal, wenn es noch nicht geöffnet ist. Sie können das Xfce Terminal-Symbol auf der linken Seite Ihres Desktops finden.

Geben Sie jetzt den folgenden Befehl in das Terminal ein und drücken Sie die Eingabetaste:

cat /proc/sys/kernel/lockdown

Sie werden eine Ausgabe ähnlich der folgenden sehen:

[none] integrity confidentiality

Die Ausgabe zeigt den aktuellen Lockdown-Modus in eckigen Klammern ([none] in diesem Beispiel) und die verfügbaren Lockdown-Modi an.

none: Der Kernel befindet sich nicht im Lockdown-Modus.
integrity: Schränkt Funktionen ein, die es dem Benutzerraum ermöglichen könnten, den laufenden Kernel zu ändern.
confidentiality: Schränkt Funktionen ein, die es dem Benutzerraum ermöglichen könnten, vertrauliche Informationen aus dem Kernel zu extrahieren.

Die genaue Ausgabe kann je nach Kernel-Konfiguration variieren, aber die Struktur wird ähnlich sein. Das Verständnis des Lockdown-Status ist wichtig für die Beurteilung der Sicherheitslage eines Linux-Systems.

Klicken Sie auf Weiter, um mit dem nächsten Schritt fortzufahren.

Überprüfen des Lockdowns in dmesg

Neben der Prüfung des /proc-Dateisystems werden Kernel-Nachrichten, die sich auf Änderungen des Lockdown-Status beziehen, oft im Kernel-Ringpuffer protokolliert. Wir können diese Nachrichten mit dem Befehl dmesg anzeigen.

Der dmesg-Befehl wird verwendet, um den Kernel-Ringpuffer zu untersuchen oder zu steuern. Er zeigt Nachrichten an, die vom Kernel während des Bootvorgangs und der Laufzeit erzeugt werden.

Um zu sehen, ob es Nachrichten in Bezug auf den Kernel-Lockdown gibt, können wir die Ausgabe von dmesg an grep weiterleiten und nach dem Begriff "lockdown" suchen. Das Weiterleiten (|) sendet die Ausgabe eines Befehls als Eingabe an einen anderen Befehl.

Geben Sie den folgenden Befehl in Ihr Terminal ein und drücken Sie die Eingabetaste:

dmesg | grep lockdown

Sie könnten eine Ausgabe ähnlich der folgenden sehen:

[    0.000000] Kernel command line: BOOT_IMAGE=/boot/vmlinuz-... root=UUID=... ro ... lockdown=none
[    0.000000] Kernel lockdown: Lockdown is disabled.

Diese Ausgabe zeigt Kernel-Nachrichten, die das Wort "lockdown" enthalten. Sie kann den während des Bootvorgangs festgelegten Lockdown-Status oder alle späteren Änderungen bestätigen. Die genauen Nachrichten hängen davon ab, wie das System gestartet und konfiguriert wurde.

Wenn Sie keine Ausgabe sehen, kann dies bedeuten, dass keine spezifischen Kernel-Nachrichten über den Lockdown im Puffer protokolliert wurden oder dass die Nachrichten überschrieben wurden, wenn der Puffer voll ist. Dennoch ist die Prüfung von dmesg eine gängige Praxis, um Kernel-Ebene-Ereignisse zu überprüfen.

Klicken Sie auf Weiter, um mit dem nächsten Schritt fortzufahren.

Prüfen der Sicherheitseinstellungen in /sys/kernel/security

In diesem letzten Schritt werden wir das Verzeichnis /sys/kernel/security untersuchen. Das /sys-Dateisystem ist ein weiteres virtuelles Dateisystem, das eine Schnittstelle zu Kernel-Datenstrukturen bietet. Das Verzeichnis /sys/kernel/security enthält speziell Informationen und Steuerungsmöglichkeiten im Zusammenhang mit den vom Kernel geladenen Linux Security Modules (LSMs, Linux-Sicherheitsmodule).

LSMs sind Frameworks, die es dem Kernel ermöglichen, verschiedene Sicherheitsmodelle zu unterstützen. Beispiele hierfür sind SELinux, AppArmor und andere.

Lassen Sie uns den Inhalt dieses Verzeichnisses mit dem Befehl ls auflisten. Der ls-Befehl listet den Inhalt von Verzeichnissen auf.

Geben Sie den folgenden Befehl in Ihr Terminal ein und drücken Sie die Eingabetaste:

ls /sys/kernel/security/

Je nach den geladenen LSMs werden Sie eine Ausgabe ähnlich der folgenden sehen:

apparmor  lockdown  lsm  selinux

Diese Ausgabe zeigt die Unterverzeichnisse innerhalb von /sys/kernel/security. Jedes Unterverzeichnis entspricht oft einem geladenen LSM oder einem Sicherheitsfeature wie lockdown.

Sie können den Inhalt dieser Unterverzeichnisse weiter untersuchen, indem Sie ls und cat verwenden. Beispielsweise können Sie den Inhalt des lockdown-Verzeichnisses innerhalb von /sys/kernel/security anzeigen, indem Sie Folgendes eingeben:

ls /sys/kernel/security/lockdown/

Und um den Inhalt einer Datei in diesem Verzeichnis, beispielsweise die Datei lockdown selbst (die möglicherweise ähnliche Informationen wie /proc/sys/kernel/lockdown enthält), anzuzeigen, können Sie Folgendes eingeben:

cat /sys/kernel/security/lockdown

Das Untersuchen des Verzeichnisses /sys/kernel/security gibt Ihnen einen tieferen Einblick in die aktiven Sicherheitsmodule und ihre Konfigurationen auf Ihrem System.

Sie haben nun gelernt, wie Sie den Kernel-Lockdown-Status mit verschiedenen Methoden prüfen können und haben die Kernel-Sicherheitsschnittstelle im /sys-Dateisystem erkundet.

Klicken Sie auf Weiter, um das Lab abzuschließen.

Zusammenfassung

In diesem Lab haben wir gelernt, wie man den Kernel-Lockdown-Status in Linux prüft. Wir haben den Befehl cat /proc/sys/kernel/lockdown verwendet, um den aktuellen Lockdown-Modus und die verfügbaren Modi wie none, integrity und confidentiality anzuzeigen. Das Verständnis dieser Modi ist entscheidend für die Beurteilung der System-Sicherheit.

Wir haben auch untersucht, wie man mit dem Befehl dmesg Lockdown-bezogene Nachrichten im Kernel-Ringpuffer überprüfen kann. Dieser Befehl gibt Einblicke in Kernel-Ereignisse und Statusänderungen, einschließlich solcher, die sich auf die Aktivierung oder Deaktivierung des Lockdowns beziehen. Schließlich haben wir die Sicherheitseinstellungen im Verzeichnis /sys/kernel/security geprüft, das einen detaillierteren Blick auf verschiedene Sicherheitsmodule und ihre Konfigurationen bietet, einschließlich der speziellen Lockdown-Einstellungen.