Linux може отримати Killswitch

💡 Усі статті, обговорення, новини про DevOps — в одному місці. Приєднуйтесь до DevOps спільноти!

Для Linux запропонували Killswitch, що дозволить тимчасово вимикати конкретні вразливі функції ядра прямо під час роботи системи. Відповідні патчі представив розробник Саша Левін, який входить до консультативної ради Linux Foundation.

Поява такої пропозиції зрозуміла — нещодавно в Linux виявили одразу дві серйозні вразливості, зокрема Copy Fail 2: Electric Boogaloo та Dirty Frag, де між публічним розголосом та виправленням утворилося небезпечне вікно. Ідея Killswitch саме у тому, щоб закрити саме цей проміжок.

Як це має працювати

Адміністратор зможе вимкнути конкретну проблемну функцію ядра. Після цього виклики до неї завершуватимуться помилкою, замість того щоб доходити до вразливого коду. Тобто це не виправляє баг та не робить код безпечним, а тимчасово відокремлює небезпечну ділянку, поки готується відповідний патч.

Killswitch має працювати через securityfs та буде корисним переважно для підсистем, без яких система може певний час прожити. Адже у деяких випадках тимчасова втрата частини функціональності може бути меншою проблемою, ніж залишити відомий вразливий код.

Такий стан зберігатиметься, поки адміністратор сам не вимкне механізм або поки систему не перезавантажать.

Наразі думки спільноти щодо червоної кнопки розділились. Частина розробників бачить у Killswitch корисний тимчасовий захист, що може допомогти великим інфраструктурам швидко вимкнути вразливу функцію ядра, поки патчу ще немає. Але також є питання до стабільності, можливих помилок в конфігурації та ризику зловживання.

Як вам така ідея? Чи потрібен Linux аварійний захист, чи це надто небезпечний інструмент?