Linus Torvalds schloss gestern das Merge-Window für Linux 5.4. Einige neue Feature landen wohl in dem Kernel, auffällig seien die Lockdown-Patches, die nun nicht mehr nur von EFI-Secure-Boot abhängen.
Laut der Release-Mitteilung von Torvalds machen AMD-Header-Files einmal mehr den Hauptteil des aktuellen Release aus. Ansonsten wird Kernel 5.4 wohl noch ein Reihe weiterer Highlights mitbringen. Die anfangs erwähnten Lockdown-Patches stammen von Matthew Garrett, David Howells und weiteren Entwicklern. Sie sollen “die Grenze zwischen PID 0 und dem Kernel stärken” und sperren, wenn der Admin sie aktiviert, den Zugang zu verschiedenen Kernel-Features. Die Patches für Kernel 5.4 sorgen dafür, dass Lockdown nicht am EFI Secure Boot hängt. Zudem wird Lockdown als Linux-Security-Modul implementiert. Damit lässt sich Lockdown über ein Regelwerk, einen “locked_down”-LSM-Hook und den Kommandozeilenparameter “lockdown” steuern. Auf ein implizites Regelwerk im Code können die Entwickler so verzichten.
Auch zum Thema Sicherheit tragen Patches für die Integrity Measurement Architecture (IMA) von Mimi Zohar bei. Die misst und bewertet nun auch angehängte Datei-Signaturen. Sowohl das Kexec Kernelimage als auch das Initramfs dürfen solche angehängten Signaturen verwenden. Damit die Verifizierung im Rahmen des vorhandenen IMA-Frameworks gelingt, mussten die Entwickler den für angehängte Signaturen zuständigen Verifizierungscode mehrfach überarbeiten. Diese Arbeiten würden aber auch den Weg für andere Verifizierungsmethoden freimachen, etwa per “fs-verity“.
Entropie von Anfang an
Eine Verbesserung am IO-Code für das Dateisystem Ext 4 schlug fehl, weil der Kernel zur Bootzeit zu wenig Entropie erzeugte und der Userspace (unnötigerweise) nach sicheren Zufallszahlen verlangte. Linus Torvalds störte dieser Mangel an Entropie trotzdem, also schraubte er noch kurz vor dem Release der RC1 am Code. Über den CPU-Cycle-Counter, den die meisten Architekturen mitbringen, soll Linux künftig schon zu Beginn Entropie erzeugen, die der Userspace dann verwenden kann.
Ext 4 ergänzt Debugging-Helfer, um Userspace zu erlauben, Informationen über den Status des Extent-Status-Cache zu erhalten. Zugleich haben die Entwickler ein Workaround für den Umgang mit Daten vor 1970 entfernt. Einerseits kümmern sich schon länger Kernel und E2fsck um das Problem. Andererseits datieren auch nur wenige Dateien so weit zurück. Das Dateisystem F2FS übernimmt derweilen die Verbesserungen an der Groß- und Kleinschreibung, die Ext4 kürzlich eingeführt hat.
Devicemapper-Updates
Änderungen bringt auch der Devicemapper mit: Dessen “verity“-Target überprüft die Integrität von Blockgeräten mit Hilfe kryptografischer Funktionen. Neu im Köcher ist die Option, die Integrität über die “pkcs7”-Signatur des Roothash zu testen. Auch “dm-clone” ist ein neues Devicemapper-Target. Das erzeugt eine 1-zu-1-Kopie eines existierenden nur lesbaren Quellgeräts als beschreibbares lokales Zielgerät: Ein virtuelles Blockgerät lässt dabei alle Daten sofort erscheinen und leitet Lese- und Schreibvorgänge weiter. Das soll es ermöglichen, entfernte, nur-lesbare Blockdevices über verschiedene Netzwerkspeicher-Protokolle lokal zu speichern und schnell auf die Daten zuzugreifen.
Der AMDGPU-Kerneltreiber bringt nun zwar Support für Navi 12 und 14 mit, allerdings gilt der als experimentell und Entwickler müssen ihn in Kernel 5.4 über ein spezielles Flag aktivieren. Ersten Support gibt es zudem für AMDs APU mit dem namen “Dali” AMD benennt seine APUs nach bekannten Malern, Kernel 5.4 wird zudem Fixes für “Renoir” mitbringen, einer weiteren APU. Der freie Nvidia-Treiber Nouveau erkennt nun, wenn PCIe-Kabel nicht angesteckt sind.
Wohl auch aufgrund der Erfahrungen mit Spectre, Meltdown und Co. hat Kernel-Entwickler Thomas Gleixner Regeln für den künftigen Umgang mit Security-Zwischenfällen formuliert. Über verschlüsselte Mailinglisten sollen potenzielle Ansprechpartner aus der Kernel-Community und der Industrie in Kontakt miteinander treten.
