Met de aankomende release van Linux 7.3 wordt er opnieuw een belangrijke stap gezet in het verbeteren van de systeemveiligheid. De AF_ALG-interface, een onderdeel van de Linux-kernel dat door programma’s wordt gebruikt om direct toegang te krijgen tot de cryptografische functies van de kernel, wordt verder aan banden gelegd. Dit is een vervolg op de eerdere afkeuring in Linux 7.2, omdat deze interface in het verleden een aanzienlijk risico op beveiligingslekken bleek te vormen.
De AF_ALG-interface stelt software in staat om snel en efficiënt versleutelings- en ontsleutelingsprocessen uit te voeren via de kernel. Hoewel dit in theorie handig klinkt, is gebleken dat de manier waarop dit gebeurde een ‘enorm aanvalsoppervlak’ creëerde voor kwaadwillenden. Dit betekent dat er veel potentiële ingangen waren voor hackers om misbruik te maken van het systeem, wat leidde tot diverse beveiligingsproblemen.
Voor Linux 7.3 introduceert men een nieuwe ‘sysctl knob’, wat in feite een instelling is die systeembeheerders meer controle geeft over deze interface. Waar in versie 7.2 al enkele functies werden verwijderd, kunnen beheerders nu nog specifieker bepalen hoe en of de AF_ALG-interface gebruikt mag worden. Dit betekent dat zij de mogelijkheid krijgen om de interface volledig uit te schakelen of de functionaliteit ervan te beperken, afhankelijk van de behoeften en het beveiligingsbeleid van hun systeem.
Voor de gemiddelde gebruiker is dit nieuws vooral geruststellend: het draagt bij aan een veiligere Linux-omgeving. Je zult er in de dagelijkse praktijk waarschijnlijk weinig van merken, behalve dan dat je systeem robuuster wordt tegen mogelijke aanvallen. Voor systeembeheerders en ontwikkelaars betekent het een extra tool om de beveiliging van servers en applicaties die op Linux draaien te finetunen, en de risico’s die gepaard gaan met deze specifieke interface te minimaliseren.
Deze voortdurende inspanningen om de AF_ALG-interface te beveiligen en te beperken, onderstrepen de constante aandacht van de Linux-ontwikkelaars voor de algehele veiligheid van het besturingssysteem. Het is een duidelijk voorbeeld van hoe er continu wordt gewerkt aan het dichten van potentiële gaten en het versterken van de kern van Linux.
Bron: https://www.phoronix.com/news/AF-ALG-Restrict-Sysctl-Linux
