手机版
你好,游客 登录 注册
背景:
阅读新闻

2019年,大多数Linux发行版仍然没有限制Dmesg的访问

[日期:2019-04-21] 来源:Linux公社  作者:醉落红尘 [字体: ]

回到Linux 2.6内核的晚期,CONFIG_DMESG_RESTRICT(或者在过去的几年里,重新命名为CONFIG_SECURITY_DMESG_RESTRICT)是一个Kconfig选项,它以安全性的名义限制对dmesg的访问,不允许非特权用户访问这个系统日志。虽然不时会提到dmesg,但是Linux发行版通常仍然允许任何用户访问dmesg,即使它可能包含可能帮助坏人利用系统的信息。

2019年,大多数Linux发行版仍然没有限制Dmesg的访问

CONFIG_SECURITY_DMESG_RESTRICT的主要动力和一个关联的sysctl可调(dmesg_restrict)是限制访问dmesg所以无特权的用户无法看到syslog以避免可能的内核内存地址暴露在其他潜在的敏感信息可能泄露的内核帮助任何人试图利用系统。但是,即使这些选项多年来一直可用,大多数Linux发行版仍然让dmesg对任何用户开放。

多年来,人们一直在尝试像Ubuntu在2011年就考虑启用这样的功能,但最终还是被拒绝了,原因是担心破坏一些用户空间实用程序,以及需要通过dmesg访问更新文档。

我注意到Intel的Clear Linux正在关注一个新提议中的dmesg_restricted特性,这提醒了我当前的情况。Clear Linux可能会以安全的名义限制dmesg访问可能泄漏的内核地址。

Oracle的VirtualBox被强调为流行的程序之一,最终泄漏地址给dmesg。三年前的VirtualBox bug报告强调了内核地址信息泄露的问题,但上游将该问题标记为“无法修复”,理由是“对不起,这不是安全问题,根本不是问题”。拥有这些地址不是问题,因为使用它们需要特殊的权限。”

考虑到越来越多的安全问题和漏洞,也许2019年将会有更多的Linux发行版锁定dmesg?

Linux dmesg命令使用示例  https://www.linuxidc.com/Linux/2019-04/158241.htm 

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2019-04/158222.htm

linux
相关资讯       dmesg 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款