Como verificar se o modo de bloqueio do kernel está ativo no Linux

Introdução

Neste laboratório, você aprenderá como verificar se o modo de bloqueio do kernel (kernel lockdown mode) está ativo no Linux. O bloqueio do kernel é um recurso de segurança que restringe certas capacidades do kernel para aprimorar a segurança do sistema.

Você conseguirá isso examinando o status de bloqueio do kernel através do sistema de arquivos /proc usando o comando cat, verificando mensagens relacionadas ao bloqueio no buffer de anel do kernel com dmesg e inspecionando as configurações de segurança dentro do diretório /sys/kernel/security. Essas etapas fornecerão uma compreensão abrangente do estado atual de bloqueio do seu sistema Linux.

Verificar o status de bloqueio com cat /proc/sys/kernel/lockdown

Nesta etapa, verificaremos o status atual de bloqueio do kernel Linux. O bloqueio do kernel (kernel lockdown) é um recurso de segurança que restringe certas capacidades do kernel para aprimorar a segurança, especialmente em sistemas onde o acesso físico é uma preocupação.

O status de bloqueio é exposto através do sistema de arquivos /proc, especificamente em /proc/sys/kernel/lockdown. O sistema de arquivos /proc é um sistema de arquivos virtual que fornece informações sobre processos e outras informações do sistema.

Para verificar o status de bloqueio, usaremos o comando cat. O comando cat é usado para exibir o conteúdo de arquivos.

Abra seu terminal, caso ainda não esteja aberto. Você pode encontrar o ícone do Xfce Terminal no lado esquerdo da sua área de trabalho.

Agora, digite o seguinte comando no terminal e pressione Enter:

cat /proc/sys/kernel/lockdown

Você verá uma saída semelhante a esta:

[none] integrity confidentiality

A saída indica o modo de bloqueio atual entre colchetes ([none] neste exemplo) e os modos de bloqueio disponíveis.

• none: O kernel não está no modo de bloqueio.
• integrity: Restringe recursos que poderiam permitir que o espaço do usuário modificasse o kernel em execução.
• confidentiality: Restringe recursos que poderiam permitir que o espaço do usuário extraísse informações confidenciais do kernel.

A saída específica pode variar dependendo da configuração do kernel, mas a estrutura será semelhante. Compreender o status de bloqueio é importante para avaliar a postura de segurança de um sistema Linux.

Clique em Continuar para prosseguir para a próxima etapa.

Verificar o bloqueio no dmesg

Além de verificar o sistema de arquivos /proc, as mensagens do kernel relacionadas às mudanças de status de bloqueio são frequentemente registradas no buffer de anel do kernel. Podemos visualizar essas mensagens usando o comando dmesg.

O comando dmesg é usado para examinar ou controlar o buffer de anel do kernel. Ele exibe mensagens produzidas pelo kernel durante a inicialização e o tempo de execução.

Para ver se há alguma mensagem relacionada ao bloqueio do kernel, podemos canalizar a saída de dmesg para grep e pesquisar o termo "lockdown". O encadeamento (|) envia a saída de um comando como entrada para outro comando.

Digite o seguinte comando no seu terminal e pressione Enter:

dmesg | grep lockdown

Você pode ver uma saída semelhante a esta:

[    0.000000] Kernel command line: BOOT_IMAGE=/boot/vmlinuz-... root=UUID=... ro ... lockdown=none
[    0.000000] Kernel lockdown: Lockdown is disabled.

Esta saída mostra mensagens do kernel que contêm a palavra "lockdown". Ela pode confirmar o status de bloqueio definido durante a inicialização ou quaisquer alterações que ocorreram posteriormente. As mensagens exatas dependerão de como o sistema foi inicializado e configurado.

Se você não vir nenhuma saída, pode significar que não houve mensagens específicas do kernel sobre bloqueio registradas no buffer, ou as mensagens foram substituídas se o buffer estiver cheio. No entanto, verificar dmesg é uma prática comum para verificar eventos em nível de kernel.

Clique em Continuar para passar para a próxima etapa.

Inspecionar as configurações de segurança em /sys/kernel/security

Nesta etapa final, exploraremos o diretório /sys/kernel/security. O sistema de arquivos /sys é outro sistema de arquivos virtual que fornece uma interface para as estruturas de dados do kernel. O diretório /sys/kernel/security contém especificamente informações e controles relacionados aos Módulos de Segurança do Linux (LSMs - Linux Security Modules) carregados pelo kernel.

Os LSMs são frameworks que permitem que o kernel suporte uma variedade de modelos de segurança. Exemplos incluem SELinux, AppArmor e outros.

Vamos listar o conteúdo deste diretório usando o comando ls. O comando ls lista o conteúdo do diretório.

Digite o seguinte comando no seu terminal e pressione Enter:

ls /sys/kernel/security/

Você verá uma saída semelhante a esta, dependendo dos LSMs carregados:

apparmor  lockdown  lsm  selinux

Esta saída mostra os subdiretórios dentro de /sys/kernel/security. Cada subdiretório geralmente corresponde a um LSM carregado ou a um recurso de segurança como lockdown.

Você pode inspecionar ainda mais o conteúdo desses subdiretórios usando ls e cat. Por exemplo, para ver o conteúdo do diretório lockdown dentro de /sys/kernel/security, você pode usar:

ls /sys/kernel/security/lockdown/

E para visualizar o conteúdo de um arquivo dentro desse diretório, por exemplo, o próprio arquivo lockdown (que pode conter informações semelhantes a /proc/sys/kernel/lockdown), você pode usar:

cat /sys/kernel/security/lockdown

Explorar o diretório /sys/kernel/security fornece uma visão mais profunda dos módulos de segurança ativos e suas configurações em seu sistema.

Você agora aprendeu como verificar o status de bloqueio do kernel usando diferentes métodos e explorou a interface de segurança do kernel no sistema de arquivos /sys.

Clique em Continuar para concluir o laboratório.

Resumo

Neste laboratório, aprendemos como verificar o status de bloqueio do kernel no Linux. Usamos o comando cat /proc/sys/kernel/lockdown para visualizar o modo de bloqueio atual e os modos disponíveis, como none, integrity e confidentiality. Compreender esses modos é crucial para avaliar a segurança do sistema.

Também exploramos como verificar mensagens relacionadas ao bloqueio no buffer de anel do kernel usando o comando dmesg, que fornece informações sobre eventos do kernel e mudanças de status, incluindo aqueles relacionados à ativação ou desativação do bloqueio. Finalmente, examinamos as configurações de segurança dentro do diretório /sys/kernel/security, que oferece uma visão mais detalhada de vários módulos de segurança e suas configurações, incluindo configurações específicas de bloqueio.