LabEx
ВойтиПрисоединиться бесплатно

Как проверить, активен ли режим блокировки ядра в Linux

LinuxLinuxBeginner
Практиковаться сейчас

💡 Этот учебник переведен с английского с помощью ИИ. Чтобы просмотреть оригинал, вы можете перейти на английский оригинал

Введение

В этом лабораторном занятии (LabEx) вы научитесь проверять, активен ли режим блокировки ядра (kernel lockdown mode) в Linux. Блокировка ядра (Kernel lockdown) - это функция безопасности, которая ограничивает определенные возможности ядра для повышения безопасности системы.

Вы добьетесь этого, проверив статус блокировки ядра через файловую систему /proc с помощью команды cat, проверив сообщения, связанные с блокировкой, в кольцевом буфере ядра с помощью команды dmesg и проверив настройки безопасности в каталоге /sys/kernel/security. Эти шаги дадут вам полное представление о текущем состоянии блокировки вашей системы Linux.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL linux(("Linux")) -.-> linux/BasicFileOperationsGroup(["Basic File Operations"]) linux(("Linux")) -.-> linux/TextProcessingGroup(["Text Processing"]) linux/BasicFileOperationsGroup -.-> linux/ls("Content Listing") linux/BasicFileOperationsGroup -.-> linux/cat("File Concatenating") linux/TextProcessingGroup -.-> linux/grep("Pattern Searching") subgraph Lab Skills linux/ls -.-> lab-558794{{"Как проверить, активен ли режим блокировки ядра в Linux"}} linux/cat -.-> lab-558794{{"Как проверить, активен ли режим блокировки ядра в Linux"}} linux/grep -.-> lab-558794{{"Как проверить, активен ли режим блокировки ядра в Linux"}} end

Проверка статуса блокировки с помощью команды cat /proc/sys/kernel/lockdown

На этом шаге мы проверим текущий статус блокировки ядра Linux. Блокировка ядра (Kernel lockdown) - это функция безопасности, которая ограничивает определенные возможности ядра для повышения безопасности, особенно на системах, где есть риск физического доступа.

Статус блокировки доступен через файловую систему /proc, а именно по пути /proc/sys/kernel/lockdown. Файловая система /proc - это виртуальная файловая система, которая предоставляет информацию о процессах и другой системной информации.

Для проверки статуса блокировки мы будем использовать команду cat. Команда cat используется для отображения содержимого файлов.

Если терминал еще не открыт, откройте его. Вы можете найти значок Xfce Terminal слева на рабочем столе.

Теперь введите следующую команду в терминал и нажмите Enter:

cat /proc/sys/kernel/lockdown

Вы увидите вывод, похожий на следующий:

[none] integrity confidentiality

Вывод показывает текущий режим блокировки в квадратных скобках ([none] в этом примере) и доступные режимы блокировки.

  • none: Ядро не находится в режиме блокировки.
  • integrity: Ограничивает функции, которые могут позволить пользовательскому пространству модифицировать работающее ядро.
  • confidentiality: Ограничивает функции, которые могут позволить пользовательскому пространству извлекать конфиденциальную информацию из ядра.

Конкретный вывод может отличаться в зависимости от конфигурации ядра, но структура будет похожа. Понимание статуса блокировки важно для оценки безопасности системы Linux.

Нажмите Продолжить, чтобы перейти к следующему шагу.

Проверка блокировки с помощью команды dmesg

В дополнение к проверке файловой системы /proc, сообщения ядра, связанные с изменением статуса блокировки, часто записываются в кольцевой буфер ядра. Мы можем просмотреть эти сообщения с помощью команды dmesg.

Команда dmesg используется для просмотра или управления кольцевым буфером ядра. Она отображает сообщения, созданные ядром во время загрузки и работы системы.

Чтобы проверить, есть ли сообщения, связанные с блокировкой ядра, мы можем передать вывод команды dmesg в команду grep и искать термин "lockdown". Пайп (|) передает вывод одной команды в качестве входных данных для другой команды.

Введите следующую команду в терминал и нажмите Enter:

dmesg | grep lockdown

Вы можете увидеть вывод, похожий на следующий:

[    0.000000] Kernel command line: BOOT_IMAGE=/boot/vmlinuz-... root=UUID=... ro ... lockdown=none
[    0.000000] Kernel lockdown: Lockdown is disabled.

Этот вывод показывает сообщения ядра, содержащие слово "lockdown". Он может подтвердить статус блокировки, установленный при загрузке, или любые изменения, произошедшие позже. Точные сообщения будут зависеть от того, как система была загружена и настроена.

Если вы не видите никакого вывода, это может означать, что в буфере не было записано конкретных сообщений ядра о блокировке, или сообщения были перезаписаны, если буфер заполнен. Однако проверка с помощью команды dmesg - это распространенная практика для подтверждения событий на уровне ядра.

Нажмите Продолжить, чтобы перейти к следующему шагу.

Проверка параметров безопасности в каталоге /sys/kernel/security

На этом последнем шаге мы рассмотрим каталог /sys/kernel/security. Файловая система /sys представляет собой еще одну виртуальную файловую систему, которая предоставляет интерфейс к структурам данных ядра. Каталог /sys/kernel/security в частности содержит информацию и параметры управления, связанные с модулями безопасности Linux (Linux Security Modules, LSM), загруженными ядром.

Модули безопасности Linux (LSM) - это фреймворки, которые позволяют ядру поддерживать различные модели безопасности. Примерами таких моделей являются SELinux, AppArmor и другие.

Попробуем вывести список содержимого этого каталога с помощью команды ls. Команда ls выводит список содержимого каталога.

Введите следующую команду в терминал и нажмите Enter:

ls /sys/kernel/security/

В зависимости от загруженных модулей безопасности (LSM) вы увидите вывод, похожий на следующий:

apparmor  lockdown  lsm  selinux

Этот вывод показывает подкаталоги внутри /sys/kernel/security. Каждый подкаталог обычно соответствует загруженному модулю безопасности (LSM) или функции безопасности, такой как lockdown.

Вы можете дополнительно проверить содержимое этих подкаталогов, используя команды ls и cat. Например, чтобы посмотреть содержимое каталога lockdown внутри /sys/kernel/security, вы можете использовать следующую команду:

ls /sys/kernel/security/lockdown/

А чтобы просмотреть содержимое файла в этом каталоге, например, файла lockdown (который может содержать информацию, аналогичную файлу /proc/sys/kernel/lockdown), вы можете использовать следующую команду:

cat /sys/kernel/security/lockdown

Исследование каталога /sys/kernel/security позволяет получить более глубокое понимание активных модулей безопасности и их конфигурации на вашей системе.

Теперь вы узнали, как проверять статус блокировки ядра с помощью различных методов и исследовали интерфейс безопасности ядра в файловой системе /sys.

Нажмите Продолжить, чтобы завершить лабораторную работу.

Резюме

В этой лабораторной работе мы научились проверять статус блокировки ядра в Linux. Мы использовали команду cat /proc/sys/kernel/lockdown для просмотра текущего режима блокировки и доступных режимов, таких как none, integrity и confidentiality. Понимание этих режимов является важным аспектом оценки безопасности системы.

Мы также изучили, как проверять сообщения, связанные с блокировкой, в кольцевом буфере ядра с помощью команды dmesg, которая позволяет получить информацию о событиях ядра и изменениях статуса, в том числе о включении или отключении блокировки. Наконец, мы рассмотрели настройки безопасности в каталоге /sys/kernel/security, который предоставляет более детальную информацию о различных модулях безопасности и их конфигурациях, включая настройки, специфичные для блокировки.

Связанные Linux Курсы
Быстрый старт с Linux

Быстрый старт с Linux

LinuxShell
Начинающий
Linux для новичков

Linux для новичков

LinuxShell
Средний
Практика работы с командами Linux

Практика работы с командами Linux

LinuxShell
Начинающий