Comment vérifier si le mode de verrouillage du noyau est actif sous Linux

Introduction

Dans ce laboratoire (lab), vous apprendrez à vérifier si le mode de verrouillage du noyau (kernel lockdown mode) est actif sous Linux. Le verrouillage du noyau (kernel lockdown) est une fonctionnalité de sécurité qui restreint certaines capacités du noyau pour renforcer la sécurité du système.

Vous y parviendrez en examinant l'état de verrouillage du noyau via le système de fichiers /proc à l'aide de la commande cat, en vérifiant les messages liés au verrouillage dans le tampon circulaire du noyau (kernel ring buffer) avec dmesg, et en inspectant les paramètres de sécurité dans le répertoire /sys/kernel/security. Ces étapes vous permettront de comprendre de manière complète l'état actuel de verrouillage de votre système Linux.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL linux(("Linux")) -.-> linux/BasicFileOperationsGroup(["Basic File Operations"]) linux(("Linux")) -.-> linux/TextProcessingGroup(["Text Processing"]) linux/BasicFileOperationsGroup -.-> linux/ls("Content Listing") linux/BasicFileOperationsGroup -.-> linux/cat("File Concatenating") linux/TextProcessingGroup -.-> linux/grep("Pattern Searching") subgraph Lab Skills linux/ls -.-> lab-558794{{"Comment vérifier si le mode de verrouillage du noyau est actif sous Linux"}} linux/cat -.-> lab-558794{{"Comment vérifier si le mode de verrouillage du noyau est actif sous Linux"}} linux/grep -.-> lab-558794{{"Comment vérifier si le mode de verrouillage du noyau est actif sous Linux"}} end

Vérifier l'état de verrouillage avec cat /proc/sys/kernel/lockdown

Dans cette étape, nous allons vérifier l'état actuel de verrouillage du noyau Linux. Le verrouillage du noyau (kernel lockdown) est une fonctionnalité de sécurité qui restreint certaines capacités du noyau pour renforcer la sécurité, en particulier sur les systèmes où l'accès physique est un problème.

L'état de verrouillage est accessible via le système de fichiers /proc, plus précisément à l'emplacement /proc/sys/kernel/lockdown. Le système de fichiers /proc est un système de fichiers virtuel qui fournit des informations sur les processus et d'autres informations système.

Pour vérifier l'état de verrouillage, nous allons utiliser la commande cat. La commande cat est utilisée pour afficher le contenu des fichiers.

Ouvrez votre terminal s'il n'est pas déjà ouvert. Vous pouvez trouver l'icône Xfce Terminal sur le côté gauche de votre bureau.

Maintenant, tapez la commande suivante dans le terminal et appuyez sur Entrée :

cat /proc/sys/kernel/lockdown

Vous verrez une sortie similaire à celle-ci :

[none] integrity confidentiality

La sortie indique le mode de verrouillage actuel entre crochets ([none] dans cet exemple) et les modes de verrouillage disponibles.

none : Le noyau n'est pas en mode de verrouillage.
integrity : Restreint les fonctionnalités qui pourraient permettre à l'espace utilisateur de modifier le noyau en cours d'exécution.
confidentiality : Restreint les fonctionnalités qui pourraient permettre à l'espace utilisateur d'extraire des informations confidentielles du noyau.

La sortie spécifique peut varier en fonction de la configuration du noyau, mais la structure sera similaire. Comprendre l'état de verrouillage est important pour évaluer la posture de sécurité d'un système Linux.

Cliquez sur Continuer pour passer à l'étape suivante.

Vérifier le verrouillage avec dmesg

En plus de vérifier le système de fichiers /proc, les messages du noyau liés aux changements d'état de verrouillage sont souvent enregistrés dans le tampon circulaire du noyau (kernel ring buffer). Nous pouvons afficher ces messages à l'aide de la commande dmesg.

La commande dmesg est utilisée pour examiner ou contrôler le tampon circulaire du noyau. Elle affiche les messages produits par le noyau lors du démarrage et pendant le fonctionnement.

Pour voir s'il existe des messages liés au verrouillage du noyau, nous pouvons rediriger la sortie de dmesg vers grep et rechercher le terme "lockdown". La redirection (|) envoie la sortie d'une commande en tant qu'entrée à une autre commande.

Tapez la commande suivante dans votre terminal et appuyez sur Entrée :

dmesg | grep lockdown

Vous pourriez voir une sortie similaire à celle-ci :

[    0.000000] Kernel command line: BOOT_IMAGE=/boot/vmlinuz-... root=UUID=... ro ... lockdown=none
[    0.000000] Kernel lockdown: Lockdown is disabled.

Cette sortie montre les messages du noyau qui contiennent le mot "lockdown". Elle peut confirmer l'état de verrouillage défini lors du démarrage ou tout changement survenu par la suite. Les messages exacts dépendront de la manière dont le système a été démarré et configuré.

Si vous ne voyez aucune sortie, cela peut signifier qu'il n'y a pas eu de messages spécifiques du noyau sur le verrouillage enregistrés dans le tampon, ou que les messages ont été écrasés si le tampon est plein. Cependant, vérifier dmesg est une pratique courante pour vérifier les événements au niveau du noyau.

Cliquez sur Continuer pour passer à l'étape suivante.

Inspecter les paramètres de sécurité dans /sys/kernel/security

Dans cette étape finale, nous allons explorer le répertoire /sys/kernel/security. Le système de fichiers /sys est un autre système de fichiers virtuel qui fournit une interface aux structures de données du noyau. Le répertoire /sys/kernel/security contient spécifiquement des informations et des contrôles liés aux modules de sécurité Linux (Linux Security Modules - LSMs) chargés par le noyau.

Les LSMs sont des frameworks qui permettent au noyau de prendre en charge diverses modèles de sécurité. Des exemples incluent SELinux, AppArmor et d'autres.

Listons le contenu de ce répertoire à l'aide de la commande ls. La commande ls liste le contenu d'un répertoire.

Tapez la commande suivante dans votre terminal et appuyez sur Entrée :

ls /sys/kernel/security/

Vous verrez une sortie similaire à celle-ci, en fonction des LSMs chargés :

apparmor  lockdown  lsm  selinux

Cette sortie montre les sous-répertoires à l'intérieur de /sys/kernel/security. Chaque sous-répertoire correspond souvent à un LSM chargé ou à une fonctionnalité de sécurité comme lockdown.

Vous pouvez inspecter plus en détail le contenu de ces sous-répertoires à l'aide de ls et cat. Par exemple, pour voir le contenu du répertoire lockdown à l'intérieur de /sys/kernel/security, vous pouvez utiliser :

ls /sys/kernel/security/lockdown/

Et pour afficher le contenu d'un fichier dans ce répertoire, par exemple, le fichier lockdown lui-même (qui pourrait contenir des informations similaires à celles de /proc/sys/kernel/lockdown), vous pouvez utiliser :

cat /sys/kernel/security/lockdown

L'exploration du répertoire /sys/kernel/security offre un aperçu plus approfondi des modules de sécurité actifs et de leurs configurations sur votre système.

Vous avez maintenant appris à vérifier l'état de verrouillage du noyau à l'aide de différentes méthodes et exploré l'interface de sécurité du noyau dans le système de fichiers /sys.

Cliquez sur Continuer pour terminer le lab.

Résumé

Dans ce lab, nous avons appris à vérifier l'état de verrouillage du noyau (kernel lockdown) sous Linux. Nous avons utilisé la commande cat /proc/sys/kernel/lockdown pour afficher le mode de verrouillage actuel et les modes disponibles, tels que none, integrity et confidentiality. Comprendre ces modes est essentiel pour évaluer la sécurité du système.

Nous avons également exploré comment vérifier les messages liés au verrouillage dans le tampon circulaire du noyau (kernel ring buffer) à l'aide de la commande dmesg, qui permet d'obtenir des informations sur les événements du noyau et les changements d'état, y compris ceux liés à l'activation ou la désactivation du verrouillage. Enfin, nous avons examiné les paramètres de sécurité dans le répertoire /sys/kernel/security, qui offre une vue plus détaillée des différents modules de sécurité et de leurs configurations, y compris les paramètres spécifiques au verrouillage.