Fortalecimento do Kernel: Proteja contas de usuários Linux contra ataques de força bruta
Escopo do Projeto e Relação com Qubes/Kicksecure
- Os comentaristas observam que o título é enganosamente restrito; o projeto oferece um fortalecimento mais amplo além da proteção contra força bruta.
- No Qubes OS, muitos usuários usam o Kicksecure indiretamente por meio do Whonix, mas alguns argumentam que a principal proteção do Qubes é a virtualização por hardware, com o Kicksecure sendo secundário.
Kexec, Root e Defesa em Profundidade
- Alguns argumentam que desativar
kexecé inútil porque apenas root pode usá-lo, e limitar root é semelhante a uma DRM por infiltração. - Outros veem valor em desativar
kexeccomo uma camada em defesa em profundidade, especialmente em combinação com SELinux,/dev/mem//dev/kmemlimitados,/proc/kcoredesativado e restrições a módulos. - Contra-argumento: impedir de fato que root reative
kexecou aplique patches ao kernel exige políticas MAC extensas e escolhas em tempo de compilação; caso contrário, root ainda pode modificar a memória do kernel.
Secure Boot, Módulos Assinados e Liberdade do Usuário
- Um lado apoia permitir apenas módulos do kernel assinados (opcionalmente, via secure boot) para maior integridade.
- Críticos temem que isso evolua para um bloqueio não opcional (exemplos de Android, TPM, anti-cheat de jogos) e prejudique o controle do usuário sobre seu próprio hardware.
- Alguns observam que configurações fortalecidas desativam o carregamento de módulos após a inicialização; outros objetam que impedir os usuários de carregar seu próprio código em ring 0 é inaceitável.
Papel do Root, sudo e suid
- Uma minoria forte argumenta que a existência e o amplo poder do root é “má segurança” e deveria ser minimizada ou dividida em papéis mais restritos (administração de rede, instalação de software etc.).
- Modelo proposto: remover ou enfraquecer o root, evitar binários suid e usar serviços privilegiados ou binários baseados em capabilities em vez disso.
- Reação contrária: administradores devem poder controlar totalmente seus sistemas; transformar Linux em sistemas bloqueados, estilo iOS, é amplamente rejeitado.
- Alguns sugerem que
sudocuidadosamente configurado mais SELinux já alcança controle granular sem remover o root.
SELinux: Poder vs Usabilidade
- SELinux é citado como uma forma madura de restringir até mesmo o root (por exemplo, bloqueando carregamento de módulos,
kexec). - As opiniões divergem: alguns dizem que funciona bem na prática; outros o veem como complexo, mal documentado e algo que as pessoas principalmente tentam “tirar do caminho”.
Sandboxing de Navegadores e Isolamento de Aplicações
- Várias abordagens são discutidas: contas de usuário separadas, AppArmor, Firejail, flatpak/bubblewrap, contêineres (docker/podman), VMs no estilo Qubes ou navegadores remotos.
- Consenso: existem muitas ferramentas para proteger o sistema contra o navegador; proteger totalmente os dados do navegador contra outros processos de usuário é mais difícil sem sandboxing em todo o sistema.