Introdução
Neste laboratório, você aprenderá como verificar se o modo de bloqueio do kernel (kernel lockdown mode) está ativo no Linux. O bloqueio do kernel é um recurso de segurança que restringe certas capacidades do kernel para aprimorar a segurança do sistema.
Você conseguirá isso examinando o status de bloqueio do kernel através do sistema de arquivos /proc usando o comando cat, verificando mensagens relacionadas ao bloqueio no buffer de anel do kernel com dmesg e inspecionando as configurações de segurança dentro do diretório /sys/kernel/security. Essas etapas fornecerão uma compreensão abrangente do estado atual de bloqueio do seu sistema Linux.
Verificar o status de bloqueio com cat /proc/sys/kernel/lockdown
Nesta etapa, verificaremos o status atual de bloqueio do kernel Linux. O bloqueio do kernel (kernel lockdown) é um recurso de segurança que restringe certas capacidades do kernel para aprimorar a segurança, especialmente em sistemas onde o acesso físico é uma preocupação.
O status de bloqueio é exposto através do sistema de arquivos /proc, especificamente em /proc/sys/kernel/lockdown. O sistema de arquivos /proc é um sistema de arquivos virtual que fornece informações sobre processos e outras informações do sistema.
Para verificar o status de bloqueio, usaremos o comando cat. O comando cat é usado para exibir o conteúdo de arquivos.
Abra seu terminal, caso ainda não esteja aberto. Você pode encontrar o ícone do Xfce Terminal no lado esquerdo da sua área de trabalho.
Agora, digite o seguinte comando no terminal e pressione Enter:
cat /proc/sys/kernel/lockdown
Você verá uma saída semelhante a esta:
[none] integrity confidentiality
A saída indica o modo de bloqueio atual entre colchetes ([none] neste exemplo) e os modos de bloqueio disponíveis.
none: O kernel não está no modo de bloqueio.integrity: Restringe recursos que poderiam permitir que o espaço do usuário modificasse o kernel em execução.confidentiality: Restringe recursos que poderiam permitir que o espaço do usuário extraísse informações confidenciais do kernel.
A saída específica pode variar dependendo da configuração do kernel, mas a estrutura será semelhante. Compreender o status de bloqueio é importante para avaliar a postura de segurança de um sistema Linux.
Clique em Continuar para prosseguir para a próxima etapa.
Verificar o bloqueio no dmesg
Além de verificar o sistema de arquivos /proc, as mensagens do kernel relacionadas às mudanças de status de bloqueio são frequentemente registradas no buffer de anel do kernel. Podemos visualizar essas mensagens usando o comando dmesg.
O comando dmesg é usado para examinar ou controlar o buffer de anel do kernel. Ele exibe mensagens produzidas pelo kernel durante a inicialização e o tempo de execução.
Para ver se há alguma mensagem relacionada ao bloqueio do kernel, podemos canalizar a saída de dmesg para grep e pesquisar o termo "lockdown". O encadeamento (|) envia a saída de um comando como entrada para outro comando.
Digite o seguinte comando no seu terminal e pressione Enter:
dmesg | grep lockdown
Você pode ver uma saída semelhante a esta:
[ 0.000000] Kernel command line: BOOT_IMAGE=/boot/vmlinuz-... root=UUID=... ro ... lockdown=none
[ 0.000000] Kernel lockdown: Lockdown is disabled.
Esta saída mostra mensagens do kernel que contêm a palavra "lockdown". Ela pode confirmar o status de bloqueio definido durante a inicialização ou quaisquer alterações que ocorreram posteriormente. As mensagens exatas dependerão de como o sistema foi inicializado e configurado.
Se você não vir nenhuma saída, pode significar que não houve mensagens específicas do kernel sobre bloqueio registradas no buffer, ou as mensagens foram substituídas se o buffer estiver cheio. No entanto, verificar dmesg é uma prática comum para verificar eventos em nível de kernel.
Clique em Continuar para passar para a próxima etapa.
Inspecionar as configurações de segurança em /sys/kernel/security
Nesta etapa final, exploraremos o diretório /sys/kernel/security. O sistema de arquivos /sys é outro sistema de arquivos virtual que fornece uma interface para as estruturas de dados do kernel. O diretório /sys/kernel/security contém especificamente informações e controles relacionados aos Módulos de Segurança do Linux (LSMs - Linux Security Modules) carregados pelo kernel.
Os LSMs são frameworks que permitem que o kernel suporte uma variedade de modelos de segurança. Exemplos incluem SELinux, AppArmor e outros.
Vamos listar o conteúdo deste diretório usando o comando ls. O comando ls lista o conteúdo do diretório.
Digite o seguinte comando no seu terminal e pressione Enter:
ls /sys/kernel/security/
Você verá uma saída semelhante a esta, dependendo dos LSMs carregados:
apparmor lockdown lsm selinux
Esta saída mostra os subdiretórios dentro de /sys/kernel/security. Cada subdiretório geralmente corresponde a um LSM carregado ou a um recurso de segurança como lockdown.
Você pode inspecionar ainda mais o conteúdo desses subdiretórios usando ls e cat. Por exemplo, para ver o conteúdo do diretório lockdown dentro de /sys/kernel/security, você pode usar:
ls /sys/kernel/security/lockdown/
E para visualizar o conteúdo de um arquivo dentro desse diretório, por exemplo, o próprio arquivo lockdown (que pode conter informações semelhantes a /proc/sys/kernel/lockdown), você pode usar:
cat /sys/kernel/security/lockdown
Explorar o diretório /sys/kernel/security fornece uma visão mais profunda dos módulos de segurança ativos e suas configurações em seu sistema.
Você agora aprendeu como verificar o status de bloqueio do kernel usando diferentes métodos e explorou a interface de segurança do kernel no sistema de arquivos /sys.
Clique em Continuar para concluir o laboratório.
Resumo
Neste laboratório, aprendemos como verificar o status de bloqueio do kernel no Linux. Usamos o comando cat /proc/sys/kernel/lockdown para visualizar o modo de bloqueio atual e os modos disponíveis, como none, integrity e confidentiality. Compreender esses modos é crucial para avaliar a segurança do sistema.
Também exploramos como verificar mensagens relacionadas ao bloqueio no buffer de anel do kernel usando o comando dmesg, que fornece informações sobre eventos do kernel e mudanças de status, incluindo aqueles relacionados à ativação ou desativação do bloqueio. Finalmente, examinamos as configurações de segurança dentro do diretório /sys/kernel/security, que oferece uma visão mais detalhada de vários módulos de segurança e suas configurações, incluindo configurações específicas de bloqueio.



